Offizielle Internetpräsentation der IHK Saarland



 Motiv: © ra2 studio - Fotolia.com

Motiv: © ra2 studio - Fotolia.com

Kennzahl: 17.11283
09.04.2015

IT-Sicherheitsgesetz: Ansatz richtig, Umsetzung verbesserungsbedürftig


Der Bundestag berät derzeit über ein IT-Sicherheitsgesetz. Damit sollen vor allem Betreiber von Infrastrukturen, die wichtig für das Gemeinwesen sind, dazu verpflichtet werden, ihre IT-Systeme und Websites besser gegen Angriffe abzusichern. Betroffen sind Unternehmen aus den Bereichen Energie, Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Darüber hinaus sollen aber auch alle anderen Webseitenbetreiber ihre Seiten sicher machen. Ziel ist es, insbesondere die Zusammenarbeit zwischen den Betreibern sogenannter kritischer Infrastrukturen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verbessern. Doch wie kann sichergestellt werden, dass der Mehraufwand für die Unternehmen auch einen spürbaren Nutzen hat?

Konzentration auf das Wesentliche
In einer ‚Wirtschaft 4.0‘ kommt der Sicherheit informationstechnischer Systeme eine essentielle Bedeutung zu. Dabei sind Unternehmen in erster Linie selbst für ihre Sicherheit verantwortlich. Viele freiwillige Initiativen – auch der IHKs – setzen hier an und stärken die Sensibilität für das Thema. Besonderes Augenmerk verlangen Infrastrukturbereiche, denn Schäden hier bergen zugleich ein Risiko für andere Unternehmen und das Gemeinwesen. Gesetzliche Verpflichtungen zu Sicherheitsmaßnahmen sollten sich deshalb aber auch auf solche kritischen Infrastrukturen konzentrieren. Der Gesetzentwurf schießt hier in einem Punkt weit über das Ziel hinaus: Er sieht vor, dass jeder, der geschäftlich eine Website betreibt, verpflichtet werden soll, diese sicher zu machen. Ist dies nicht der Fall, droht ein Bußgeld. Verbesserungen bei der Sicherheit von Internetauftritten wären zwar wünschenswert, die vorgesehenen Verpflichtungen sind aber weder umsetz- noch kontrollierbar.

Anwendungsbereich zeitnah definieren
Problematisch ist zudem, dass das Gesetz auch im Bereich der kritischen Infrastrukturen offen lässt, welche Unternehmen tatsächlich betroffen sind. Diese Frage soll später im Rahmen einer Rechtsverordnung geklärt werden. Würde die Rechtsverordnung parallel zum Gesetzgebungsverfahren erarbeitet, könnte sich die Akzeptanz in der Wirtschaft erhöhen. Auch der öffentliche Sektor muss mit in den Prozess einbezogen werden. Eine Ungleichbehandlung kritischer Infrastrukturen, nur weil sie sich im Eigentum der öffentlichen Hand befinden, ist jedenfalls nicht nachvollziehbar.

Aufwand von IT-Sicherheitsmeldungen fragwürdig

Der Gesetzentwurf sieht vor, dass Unternehmen dem BSI relevante IT-Sicherheitsvorfälle melden müssen. Das BSI soll mehr Personal erhalten, um aus den Daten ein Lagebild zu erstellen und andere Unternehmen zu warnen. Diese gesetzlich vorgeschriebenen Meldungen führen jedoch zu erheblichem Aufwand bei den Unternehmen – bei nicht einschätzbarem Nutzen. Firmen müssten vor einer Meldung mögliche Konsequenzen prüfen, börsennotierte Unternehmen zudem überlegen, ob eine Meldung über einen IT-Sicherheitsvorfall auch an die Aktionäre weitergeleitet werden muss. Bis diese Fragen geklärt sind, dürfte es für eine Warnung anderer Unternehmen oft zu spät sein. Außerdem ist es für die Unternehmen zunächst wichtig, überhaupt zu wissen, welche konkreten Informationen sie im Falle einer Cyberattacke wann vom BSI erhalten. Darüber hinaus muss organisatorisch sichergestellt sein, dass unternehmensrelevante Informationen nicht in falsche Hände (z. B. ausländischer Nachrichtendienste) geraten. Der Umgang mit den Daten aus den beim BSI eingehenden Meldungen muss deshalb transparent und nachvollziehbar gestaltet und an den Zweck des Gesetzes gebunden sein.

Staat und Wirtschaft – neues Kooperationsmodell gefragt
Ein gemeinsames Verständnis des konkreten Zusammenspiels von Unternehmen und BSI ist eine wesentliche Grundlage für die Bereitschaft der Unternehmen zur Kooperation. Ein glaubwürdiges und effektives institutionelles Arrangement hierfür fehlt bislang noch.

Ansprechpartnerin: Dr. Katrin Sobania, DIHK Berlin, Telefon 030 20308-2109