12.11.2014 In langsamen Schritten zum Ziel

Die Bundesregierung will mit ihrem geplanten IT-Sicherheitsgesetz den Wirtschaftsstandort Deutschland widerstandsfähiger gegen die Vielzahl von Cyberbedrohungen machen. Ein Ziel, das Bitkom nachdrücklich unterstützt – das aber mit dem vorliegenden Referentenentwurf für das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ noch nicht eingelöst wird. Notwendig ist dazu eine enge Zusammenarbeit von Staat und Wirtschaft zum verstärkten Aufbau von fachlicher Expertise zur Informationssicherheit in der Privatwirtschaft. Es ist unser gemeinsames Ziel, Mindeststandards für IT-Sicherheit bei unterschiedlichen Betreibern kritischer Infrastrukturen zu schaffen. Datensicherheit ist ein hohes Gut und aufgrund seines hohen Niveaus in Deutschland ein klarer Standortvorteil, den es zu bewahren gilt.

Im aktuellen Entwurf sind für die Wirtschaft folgende Punkte von besonderer Bedeutung:

  • Erfüllungsaufwand durch die Wirtschaft

    Anders als im vorliegenden Gesetzesentwurf angenommen, entstehen der Wirtschaft durchaus zusätzliche Kosten durch die Anforderungen aus dem Gesetz. Allein für die beabsichtigte Meldepflicht für schwere IT-Sicherheitsvorfälle rechnet eine Studie der Beratungsgesellschaft KPMG mit Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kommen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe..

  • Rolle des BSI

    Entgegen der als Ziel des IT-Sicherheitsgesetzes beschriebenen Stärkung des Bundesamt für Sicherheit in der Informationstechnik (BSI) findet sich im aktuellen Entwurf von einer Stärkung des BSI praktisch nichts (mehr) wieder. Dies widerspricht auch den entsprechenden Ankündigungen in der Digitalen Agenda.

  • Kritische Infrastrukturen und Mindeststandards

    Es wird seitens Bitkom als notwendig erachtet, dass der sachliche Anwendungsbereich bereits im Gesetz wesentlich konkreter ausgeführt wird. Dazu müssen in Artikel 1 bzw. der Begründung dazu, konkrete Kriterien benannt werden, wann Teilsegmente der aufgezählten Sektoren als kritisch eingestuft werden. Die Beschreibung im aktuell vorliegenden Gesetzesentwurf ist dafür nicht konkret genug.

  • Untersuchung der Sicherheit in der Informationstechnik

    Die gesetzlich verankerte Testkompetenz, die ohne jegliche Einschränkung (etwa auf kritische Infrastrukturen) gelten soll und sogar Produkte umfasst, die noch nicht am Markt verfügbar sind, sieht die Bitkom-Branche kritisch. Eine solche Befugnis steht im Widerspruch zu geltendem Urheber-, Straf- und Kartellrecht in Deutschland. Insbesondere kann die Befugnis zur Weitergabe und Veröffentlichung der Informationen ohne angemessene Barrieren und Kontrollen zu einem neuen Sicherheitsrisiko führen.

  • Meldepflichtige Ereignisse

    Gemäß dieser Definition liegt bereits dann eine Störung vor, wenn nur versucht wurde, auf die Technik einzuwirken. Ebenso soll eine Störung bereits dann als bedeutend gelten, wenn die Funktionsfähigkeit der Technik nur bedroht wurde. Im Zweifel bedeutet dies eine umfassende, unverzügliche Meldeverpflichtung für jegliche Störungen. Um Rechtsunsicherheit zu vermeiden, ist hier eine einschränkende Konkretisierung dringend geboten.

Ausführlich hat Bitkom seine Position in einer ersten Stellungnahme zum Referentenentwurf von Anfang November für das IT-Sicherheitsgesetz ausgeführt. Die Verbändeanhörung zum IT-Sicherheitsgesetz ist für den 17. November geplant.

Themen

Contact Picture

Marc Fliehe

Diesen Beitrag teilen

Ihr Kommentar

Ihr Kommentar

* = Pflichtfelder

Der Inhalt dieses Feldes wird nicht öffentlich angezeigt

Diese Frage hat den Zweck zu testen, ob sie ein menschlicher Benutzer sind und um automatischem Spam vorzubeugen.

Captcha

Bitte geben Sie alle Zeichen ein.

 

Themen

Contact Picture

Marc Fliehe