zurück Blog

Herbe Kritik der Wirtschaft am IT-Sicherheitsgesetz

Nun ging es plötzlich doch sehr schnell: Diese Woche segnete die Bundesregierung den Entwurf zum IT-Sicherheitsgesetz ab und leitete ihn an den Bundesrat und den Bundestag zur Diskussion weiter. Und Diskussionsstoff gibt es noch eine Menge. Denn Unternehmen und Verbände waren im Vorfeld gebeten worden, ihre Meinung zum Entwurf zu äußern. Die Kritik fiel zum Teil heftig aus.

Im März 2013 startete das Vorhaben vielversprechend, wirkungsvolle Maßnahmen für den Schutz kritischer Infrastrukturen in ein Gesetz zu gießen. Dann wurde der Entwurf mehrmals überarbeitet und einen Sommer vorübergehend auf Eis gelegt. Seit November, mehr als eineinhalb Jahre später, liegt ein vierter Referentenentwurf des Bundesinnenministeriums auf dem Tisch, der nun von der Regierung beschlossen wurde (im September kommentierten wir an dieser Stelle noch den dritten Entwurf). Betroffene Unternehmen und Verbände wie Bitkom und eco wurden vorab gebeten, zum Entwurf Stellung zu nehmen.

Der Entwurf zum IT-Sicherheitsgesetz vom 4. November 2014
Mit Spannung haben wir bei mod IT Services diese Stellungnahmen erwartet, um sie mit unseren Bedenken ins Verhältnis zu setzen. Ich möchte an dieser Stelle nochmals betonen, dass das geplante IT-Sicherheitsgesetz aus unserer Sicht richtig und dringend notwendig ist. Kritische Infrastrukturen sind das Rückgrat unserer Wirtschaft und Gesellschaft – sie benötigen besonderen Schutz in Form von regelmäßigen Sicherheitsaudits und der Analyse von sicherheitsrelevanten Vorfällen.
Warum betone ich das so? Verbände und Unternehmen haben nun zum Teil heftige Kritik am Entwurf des IT-Sicherheitsgesetzes geübt. Es soll jedoch nicht der Eindruck entstehen, hier stelle sich die Wirtschaft grundsätzlich quer. Im Gegenteil: Verbände und Unternehmen begrüßten in ihren Stellungnahmen das Vorhaben als solches ausdrücklich.

Alles eine Frage der Definition

Ich möchte Ihnen die wichtigsten Kritikpunkte kurz zusammenfassen:

Kurze Umsetzungsfristen
Der Entwurf sieht vor, dass ab dem Zeitpunkt des Inkrafttretens, die Unternehmen innerhalb von zwei Jahren branchenspezifische Standards entwickeln, zertifizieren und umsetzen. Dies erscheint sehr ambitioniert. Der Verband der deutschen Internetwirtschaft, eco, hält vier Jahre für realistisch.

Hoher Aufwand für Unternehmen
Zum einen soll das Gesetz bereits für Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Millionen Euro gelten. Hier stellt sich die Frage, welche Bedeutung die Beeinträchtigung der IT solch kleiner Unternehmen für die zugelieferte Infrastruktur-Komponente im öffentlichen Raum hat (und ob unter den 10 Mitarbeitern überhaupt ein Informatiker dabei ist). Zum anderen kommen auf die Unternehmen Aufwände im Rahmen der Meldung von Sicherheitsvorfällen zu. Dafür müssen entsprechende Prozesse definiert und implementiert werden.

Was ist ein Sicherheitsvorfall?
Zwar besserte das Ministerium hier bereits nach, dennoch könnte sich die jetzige Definition eines meldepflichtigen Sicherheitsvorfalls als unpraktikabel erweisen. Denn so sollen beispielsweise auch versuchte Angriffe den Behörden gemeldet werden. Solche Versuche sind jedoch keine Seltenheit – ihre gesetzmäßige Behandlung und Meldung könnte so mehr Zeit erfordern als ihre Abwehr.

Verantwortung des Bundes
Auch in diesem Punkt wurde bereits nachgebessert, der Ausbau der IT-Sicherheit der Bundesverwaltung ist nun ebenfalls eingeplant. Dennoch: Während die Unternehmen umfassende Informationspflichten zu erfüllen haben, formuliert das BSI seine eigenen Pflichten recht vage und als „Kann“-Bestimmungen. Darüber hinaus betreibt der Staat selbst zahlreiche kritische Infrastrukturen. Hier greift der Entwurf des Gesetzes zu kurz.

Einbeziehung von Soft- und Hardware-Herstellern
Das BSI geht davon aus, dass der Markt die Nachfrage nach entsprechenden Produkten regeln werde und schon bald passende Hard- und Software zur Verfügung stehe. Fraglich bleibt, wie innerhalb von zwei Jahren zunächst Standards und gleichzeitig darauf basierende Produkte entwickelt werden sollen.

Wahrscheinlich wird es der Gesetzgeber nie allen recht machen können. Dennoch ist das Feedback der Wirtschaft außerordentlich wichtig, denn schließlich sind es auch die Unternehmen, die das Gesetz mit Leben füllen müssen. Was mich jedoch nachdenklich stimmt, ist die Zeit, die das Ganze benötigt. Ich hoffe, dass den Gesetzgebern nicht plötzlich wieder die Sommerpause dazwischen kommt.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Wann hatten Sie Ihre letzte Datenpanne? mehr
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Safe Harbor wird zum EU US Privacy Shield mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr