Gesetzentwurf in der Kritik

Macht das IT-Sicherheitsgesetz Deutschland wirklich sicherer?

| Autor: Ira Zahorsky

Bundesinnenminister Dr. Thomas de Maizière (r.) mit BSI-Präsident Michael Hange bei der Vorstellung des IT-Sicherheitsgesetzes
Bundesinnenminister Dr. Thomas de Maizière (r.) mit BSI-Präsident Michael Hange bei der Vorstellung des IT-Sicherheitsgesetzes (Foto: BMI)

Auf Vorschlag von Bundesinnenminister Dr. Thomas de Maizière hat die Bundesregierung einen Gesetzentwurf zur „Erhöhung der Sicherheit informationstechnischer Systeme“ auf den Weg gebracht. Während der Bitkom dies erwartungsgemäß begrüßt, äußern sich der Verband der Internetwirtschaft, eco, sowie die Piratenpartei kritisch.

Im Rahmen der Umsetzung der Digitalen Agenda enthält der Gesetzentwurf Anforderungen an die IT-Sicherheit kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung. Die Betreiber kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Bei der Formulierung der jeweiligen Sicherheitsstandards soll die Wirtschaft mit eingebunden werden. Nur so lasse sich laut Bitkom-Präsident Prof. Dieter Kempf das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen.

Allerdings ist noch nicht genau geklärt, für welche Unternehmen das Gesetz gilt. Der Bundesregierung zufolge fielen rund 2.000 der zu den Betreibern kritischer Infrastrukturen zählenden Unternehmen darunter. „Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit“, betonte Kempf. Das gelte auch für die Frage, welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden. „Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden“, so Kempf. Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert.

Kosten für die Umsetzung

Allerdings sind auch die Kosten für die Umsetzung der Meldepflicht nicht unerheblich. Der Bitkom rechnet mit Ausgaben von rund 1,1 Milliarden Euro pro Jahr, zuzüglich Investitionen für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Der Aufwand und damit die Kosten für eine Zertifizierung oder für ein Audit hingen stark von dem gewählten Zertifizierungsverfahren sowie von den jeweiligen Gegebenheiten im Unternehmen ab, so der Gesetzentwurf. Zur Unterstützung sollen den Betreibern kritischer Infrastrukturen die beim BSI zusammenlaufenden und dort ausgewerteten Informationen zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt werden.

Auch die Behörden müssten dem Bitkom zufolge mit den notwendigen Personal- und Sachmitteln ausgestattet werden. Der Gesetzentwurf beziffere den Bedarf auf rund 420 Stellen in Behörden wie BSI, Bundeskriminalamt, Verfassungsschutz oder Bundesnetzagentur. Personal- und Sachkosten beliefen sich auf rund 40 Millionen Euro pro Jahr. „Diese Vorgaben müssen im Bundeshaushalt berücksichtigt werden, damit das Gesetz auch seine Wirkung entfalten kann“, forderte Kempf.

Inhalt des Artikels:

  • Seite 1: Macht das IT-Sicherheitsgesetz Deutschland wirklich sicherer?
  • Seite 2: Mehr Sicherheit?

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43132466 / BUND)