Jedes dritte Unternehmen fordert Nachbesserung

Zwischenfazit zum IT-Sicherheitsgesetz

| Autor / Redakteur: Dr. Stefan Riedl / Dr. Stefan Riedl

Im Juni 2015 wurde das IT-Sicherheitsgesetz verabschiedet.
Im Juni 2015 wurde das IT-Sicherheitsgesetz verabschiedet. (Anna_Fotolia.com)

Das IT-Sicherheitsgesetz, das im Juni dieses Jahres verabschiedet wurde, wird kontrovers diskutiert; für über 20 Prozent der Unternehmen ist es zu schwach und über zehn Prozent halten es für zu umfangreich.

Das im Sommer dieses Jahres verabschiedete IT-Sicherheitsgesetz fordert von Betreibern besonders gefährdeter und kritischer Infrastrukturen ein Mindestsicherheitsniveau sowie die Meldung von Sicherheitsvorfällen nach festen Kriterien.

Die einen fordern strengere Regulierung...

Grundsätzlich begrüßen IT-Entscheider das Gesetz, wie die Studie „Digital Security“ von Sopra Steria Consulting zeigt. Jeder fünfte IT-Entscheider glaubt demnach aber nicht, dass sich dadurch die Gefahr von Cyber-Angriffen wirkungsvoll bekämpfen lässt und fordert strengere Regulierungen. Vor allem IT-Entscheider aus Unternehmen ab 5.000 Mitarbeitern beurteilen die staatliche Regulierung der IT-Sicherheit als zu gering.

...die anderen laschere Regeln

Für 13 Prozent der Befragten sind die Regelungen hingegen zu umfangreich. Ehe über eine noch strengere Regulierung oder eine Aufweichung nachgedacht wird, sollte das IT-Sicherheitsgesetz erst einmal in seiner heutigen Form durchgesetzt werden. „Betreiber kritischer Infrastrukturen, die den Vorgaben des IT-Sicherheitsgesetzes nicht nachkommen, müssen entsprechend sanktioniert werden“, sagt Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting.

Kritische Infrastrukturen schützen

Zudem stellt sich die Frage nach dem Verhältnis von Bußgeldhöhe und finanziellen Folgen beim Ausfall kritischer Infrastrukturen. „Das Energiewirtschaftliche Institut an der Universität Köln hat errechnet, dass ein einstündiger Stromausfall durchschnittliche Wertschöpfungsverluste von 430 Millionen Euro verursacht. Wenn der Stromausfall aber durch eine unzureichende IT-Sicherheit ausgelöst wurde, steht ein Bußgeld von maximal 100.000 Euro dazu in keiner Relation“, so Spiegel weiter.

Meldepflicht ans BSI

Das Gesetz regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Ebenfalls neu eingefügt wurde in das Gesetz eine Evaluierung nach vier Jahren. Gleichzeitig werden Hard- und Software-Hersteller zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet.

Zur Studie „Digital Security“

Im Zeitraum Juni und Juli 2015 wurden 110 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern der Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien sowie Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43628233 / Projekte & Initiativen)