T. de Maizière: Ein brüllender Löwe wird zum Papiertiger

Was bringt das IT-Sicherheitsgesetz?

Seite: 4/4

Firmen zum Thema

Immer intelligentere Systeme und Netze

Ins gleiche Horn stößt das Information Security Forum (ISF), eine – nach eigenen Angaben – „weltweit tätige Non-Profit-Organisation für Informationssicherheit, Cybersicherheit und Risikomanagement“: „Bei der genauen Ausgestaltung – insbesondere was die geplante Meldepflicht für Cyberattacken angeht – muss außerdem sichergestellt sein, dass attackierte Unternehmen durch die Meldung nicht noch weiteren Schaden erleiden.“

Gerald Spiegel, IT-Sicherheitsexperte von Steria Mummert Consulting, fürchtet dann allerdings um die Motivation der Betreiber, präventiv in die Sicherheit ihrer Systeme zu investieren. Nur bei Beeinträchtigung kritischer Infrastrukturen will der Innenminister die Namen der Unternehmen gemeldet haben.

Hinzu kommt der Nutzer mit seinen Endgeräten: Am 23. Juli 2014 berichtete das Beratungsunternehmen KuppingerCole, dass Kunden von 34 Europäischen Banken – „angeblich um Millionen“ – erleichtert wurden, während sie ihre Bankgeschäfte per Google Android Handy abwickelten.

Sebastian Kraska, Gründer des Instituts für IT-Recht erläutert: „Soweit die Endgeräte der Bankkunden das Problem bilden, bin ich im Zweifel, ob das Sicherheitsgesetz hieran etwas geändert hätte. Der Gesetzesentwurf hat eher die Gestaltung der IT-Systeme bei den Unternehmen selbst im Blick.“

Sicherheit zahlt sich aus

Die Sicherheit der Endgeräte könnte aber im „Internet der Dinge“ von entscheidender Bedeutung sein – schließlich sollen künftig Gebäude, Fahrzeuge und sonstige Dinge „intelligent“ werden. Und die Kosten? Eine Studie von KPMG stellt der Deutschen Wirtschaft wegen der vorgesehenen Meldepflichten einen zusätzlichen Aufwand von einer Milliarde Euro jährlich durch das Sicherheitsgesetz in Aussicht.

Sandro Gaycken von der Freien Universität hält diese Kosten allerdings für gering im Verhältnis zu dem, was man investieren müsste, um an das Grundproblem beim Thema IT-Sicherheit heranzugehen. Er sagt, „viele kritische Systeme laufen unter Windows und haben zigtausende Schwachstellen. Die müsste man also ersetzen durch hochsichere Systeme, die man erstmal entwickeln und herstellen muss. Und das kostet mit der ganzen Industrie, die man dafür braucht vier, fünf, sechs Milliarden Euro“.

Hinzu kommt: Die Unternehmen kaufen Hard- und Software ein, ohne in jedem Fall Zugriff auf das Design von Chips und Quellcode zu erhalten. Was bedeutet die Sicherheit des eingesetzten Systems in einem Unternehmen für die Haftung? Sebastian Kraska erläutert: „Unternehmen sind selbst verantwortlich, datenschutzkonforme und sichere Software und Hardware einzusetzen. An der bisherigen gesetzlichen Ausgangslage, dass Hersteller von Software und Hardware nur eingeschränkt beziehungsweise im vertraglich vereinbarten Umfang haften, ändert der neue Gesetzesentwurf nichts.“

Gaycken glaubt nicht daran, dass der Innenminister sein Ziel erreichen wird: „Tatsächlich hat der Minister ja vollmundig die Kehrtwende zum sichersten IT-Land der Welt angekündigt. Aber: Pustekuchen! Was angekündigt wurde, wird allenfalls die Schutzwirkung einer Sandburg entfalten. Das neue IT-Sicherheitsgesetz ist ängstlich, lasch und geizig.“

(ID:43037758)