Digitale Agenda: Bundesregierung stärkt Cybersicherheit

Das IT-Sicherheitsgesetz

Sicherste Infrastruktur der Welt

Die Bundesregierung hat sich in ihrem Koalitionsvertrag auf die Etablierung eines IT-Sicherheitsgesetzes geeinigt. Das Ziel: Deutschland soll „die sicherste IT-Infrastruktur der Welt“ bekommen. Um dieses Ziel zu erreichen, will das IT-Sicherheitsgesetz für besseren Schutz vor Hackerangriffen sorgen. Nachdem bereits Amtsvorgänger Hans-Peter Friedrich einen ersten Entwurf ad acta legen musste, wagt Bundesinnenminister Thomas de Maizière mit seinem überarbeiteten Entwurf einen neuen Vorstoß.

Der Staat soll informiert werden

Das Bundesinnenministerium will unter anderem regeln, wie Unternehmen mit Cyberangriffen umzugehen haben: Diese sollen verpflichtend und „unverzüglich“ an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Auf diese Weise könnte sich der Staat ein „umfassendes Bild über die aktuelle Gefahrenlage im Netz“ verschaffen, nicht aber der Bürger. Denn eine Auskunftspflicht besteht nicht.

Unternehmen wappnen sich gegen Cyberkriminalität Tritt das Gesetz in Kraft, würde es ausgewählte Unternehmen der Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen als Betreiber kritischer Infrastrukturen betreffen. Um Reputationsverluste zu vermeiden, sollen sicherheitsrelevante Vorfälle weitgehend anonym übermittelt werden können – jedoch nur dann, wenn es sich nicht um Ausfälle oder Störungen der jeweiligen Netze handelt.

Eckpunkte des IT-Sicherheitsgesetzes

Der Entwurf des IT-Sicherheitsgesetzes ist 59 Seiten stark. Wir haben die Kerninhalte an dieser Stelle für Sie zusammengefasst:

  • Neben der gesetzlichen Meldepflicht von Angriffen und Vorfällen soll auch die Einhaltung sogenannter „IT-Mindestsicherheitsstandards“ durch die Wirtschaft geregelt werden.
  • Für Telekommunikationsanbieter sollen höhere IT-Sicherheitsstandards gelten. Darüber hinaus wird ihnen eine Meldepflicht auferlegt, ihre Kunden über Sicherheitsvorfälle zu informieren. Im gleichen Atemzug müssen sie Lösungsvorschläge erarbeiten, wie die damit einhergehende Schäden bei IT-Anwendungssystemen, beispielsweise Computer oder mobilen Endgeräten, behoben werden können.
  • Verbindliche Vorgaben für das Schutzniveau der IT-Systeme des Bundes durch das BSI.
  • Stärkung der Rolle des BSI: Das BSI erhält klarere Warnbefugnisse und soll als internationale Zentralstelle für IT-Sicherheit etabliert werden. Damit geht eine erhebliche Vergrößerung der Behörde um 133 Stellen – bei derzeit rund 600 – einher.
  • Das BKA soll bundesweit auch für Cyberangriffe zuständig sein. Dafür sind 79 neue Stellen geplant.
  • Organisatorische und strategische Stärkung des Verfassungsschutzes. Ziel ist, dass der Verfassungsschutz stärker zur IT-Sicherheit beiträgt und für Cyberspionage in der Wirtschaft sensibilisiert wird. Die neuen Aufgaben des Verfassungsschutzes werden in diesem Zusammenhang an keiner Stelle des Gesetzesentwurfes erläutert, wenngleich hier 55 neue Stellen entstehen sollen.

Pro und Contra

Nationaler Alleingang?

In der deutschen Wirtschaft wird das IT-Sicherheitsgesetz heiß diskutiert. Während es der Verband der deutschen Internetwirtschaft eco zwar grundsätzlich die Pläne begrüßt „Deutschland zum führenden Standort im Bereich IT-Sicherheit auszubauen“, lehnt er den Vorstoß des Innenministers als „nationalen Alleingang“ ab. Die Begründung: Die Betreiber der im Gesetzesentwurf als „kritisch“ bezeichneten Infrastrukturen seien oft europa- oder weltweit tätig. Eine nationale Lösung sei deshalb wenig hilfreich.

Der Hightech-Verband Bitkom dagegen sieht nicht so schwarz. Im Gegenteil: Bitkom lobt ausdrücklich den vorgesehenen Einbezug der Wirtschaft zur Ausgestaltung des Gesetztes, fordert jedoch gleichzeitig Unterstützung „für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit“.

Fazit

IT-Sicherheit kennt keine Kompromisse

LesetippDie Dimension der elektronischen Massenüberwachung hat viele geschockt – worauf Sie künftig achten sollten, erfahren Sie in diesem Artikel: Ihre Unternehmensdaten im Visier

Der bessere Schutz von Unternehmen, Bürgern und Staat vor digitalen Übergriffen ist notwendig und überfällig. Dennoch bleiben auch wir mit Fragen zurück. Denn gerade die zentrale Begrifflichkeit „kritische Infrastrukturen“ wird nicht weiter definiert. Welche Unternehmen sind also tatsächlich vom Geltungsbereich des Gesetzes betroffen? Welche Sicherheitsvorfälle gelten als so relevant, dass sie gemeldet werden müssen? Wir hoffen auf Nachbesserung.

Außer mit regelmäßigen Audits und Reportings über die Erfüllung der Mindeststandards zur IT-Sicherheit werden größere Unternehmen wohl kaum zusätzlich „belastet“. Denn bestehende Branchenstandards für die IT-Sicherheit werden – auf Antrag – wohl durch das BSI anerkannt. Anders stellt sich sicherlich die Situation für Mittelständler dar. Auf viele werden zusätzliche Kosten zukommen, um das geforderte Mindestsicherheitslevel zu erreichen.

Was denken Sie über das geplante IT-Sicherheitsgesetz der Bundesregierung? Welche Fragen sind für Sie noch offen? Ich freue mich auf Ihre Kommentare und Anregungen.

geschrieben von: Andreas Richter

Andreas Richter

Andreas Richter ist EVP Marketing & Product Management bei GBS und verantwortet die weltweite Marketing- und Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten Know-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, Cloud, Compliance und Mobility.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

1 Kommentar

  1. Wie das BSI als internationale Zentralstelle etabliert werden soll bleibt erst einmal schleierhaft, wie auch die meisten sehr schwammigen Formulierungen im Originaltext. Leider ist es nicht gelungen dem Thema adequat eine Agenda zusammenzustellen die Zweifel bspw. über Datensicherheit Ausspähaktionen etc. ausräumt. Da passt die bisherige Regierungsleistung die nicht durch Fortschritt glänzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.