IT-Sicherheitsgesetz: Vom Bundestag verabschiedet, von der Wirtschaft kritisiert

Der Bundestag hat trotz einigen Widerstands aus der Wirtschaft den vom Bundeskabinett im Dezember beschlossenen und im Februar vorgelegten Entwurf für das IT-Sicherheitsgsetz (PDF) im Februar für ein IT-Sicherheitsgesetz in zweiter und dritter Lesung verabschiedet. “Wichtige” Einrichtungen und Unternehmen aus den Bereichen Energie- und Versorgungswesen, Bank-, Finanz- und Gesundheitswesen Angriffe auf ihre IT dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Sollten sie dieser Pflicht nicht nachkommen, drohen Bußgelder bis zu 100.000 Euro. Zudem müssen die Computersysteme in Einrichtungen die der “kritischen Infrastruktur” zugerechnet werden, Mindestanforderungen erfüllen, die das BSI vorgibt.

Insgesamt sind Schätzungen zufolge etwa 2000 Unternehmen von dem Gesetz direkt betroffen und meldepflichtig. Die Meldungen erfolgen anonym. Das BSI wertet diese dann aus und erstellt aus den so gewonnenen Informationen ein Lagebild. Dieses können andere Firmen zur Ausrichtung ihrer Schutzmaßnahmen heranziehen. Ob das erforderlich und vor allem zielführend ist, wird in der Branche allerdings bezweifelt.

Der Bundesverband IT-Mittelstand e.V. (BITMi) beispielsweise kritisiert, dass es zusätzliche Bürokratie und Rechtsunsicherheit schaffe. “Es stellt einen unnötigen nationalen Alleingang Deutschlands dar, der speziell mittelständische IT-Unternehmen vor größere Herausforderungen stellt, beispielsweise bei 24/7 Verfügbarkeit für so genannte kritische Infrastrukturen oder der zusätzlichen Unsicherheit bei der gesetzlichen Verpflichtung zur IT-Sicherheit”, so Oliver Grün, Präsident des BITMi.

Auch die geplante und heute erstmals im Bundestag diskutierte Vorratsdatenspeicherung (“Gesetz zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“, PDF) kritisiert Grün: “Dies ist ein weiterer Alleingang der Bundesregierung, der den IT-Mittelstand teuer kommen wird, ohne dass er die Sicherheit für Bürger, Wirtschaft oder Staat verbessert. Die Bundesregierung übt sich in kopflosem Aktionismus und muss in Sachen IT-Sicherheit dringend nachholen. Denn das Lehrgeld zahlt nachher der deutsche IT-Mittelstand.”

Der Verband der deutschen Internetwirtschaft e.V. (eco) begrüßt zwar, dass einige Änderungen am IT-Sicherheitsgesetz vorgenommen wurden, er fordert aber eine präzise Definition von kritischen Sektoren und deren Branchen. Der Schwerpunkt müsse eindeutig auf Versorgungsdienstleistungen und den Betreibern kritischer Infrastrukturen liegen, mahnt Oliver Süme, eco-Vorstand Politik & Recht an. Sein Verband werde sich weiterhin für eine stärkere Verpflichtung bislang nicht regulierter Branchen einsetzen. “Die weitere Belastung von Internet- und Telekommunikationsunternehmen lehnen wir nach vor ab”, so Süme.

Anderen, zum Beispiel der Zurich Versicherung, geht die Meldepflicht des IT-Sicherheitsgesetzes dagegen nicht weit genug. “Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können”, so Zurich-Sprecherin Miriam Marx. “Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf ‘kritische’ Branchen zu setzen, reicht längst nicht aus.” Aber auch sie wünscht sich, dass klar definiert wird, was denn nun “kritisch” ist und was nicht.

Der Bitkom sieht die im IT-Sicherheitsgesetz vorgesehenen Bußgelder kritisch. Deren Androhung sei nicht sinnvoll, weil noch nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen. Allerdings merkt der Verband als positiv an, dass auch die Bundesverwaltung unter den Geltungsbereich des Gesetzes fallen soll.

Unter dem Strich überwiegen für den Bitkom die Vorteile. “Die Betreiber kritischer Infrastrukturen werden in die Pflicht genommen, den Schutz vor Cyberangriffen zu erhöhen und ihre IT-Sicherheitsmaßnahmen auf dem neuesten Stand zu halten”, so Bitkom-Sicherheitsexperte Marc Bachmann. Dadadurch könne sich das Schutzniveau der Wirtschaft mittelfristig insgesamt erhöhen.

Das IT-Sicherheitsgesetz erweitert darüber hinaus die Kompetenzen des BSI und der Bundesnetzagentur. Auch die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte werden ausgebaut.

[mit Material von Andre Borbe, silicon.de]

Tipp der Redaktion: Im Zeitalter der Cyberattacken gerät das BSI immer stärker in den Mittelpunkt der öffentlichen Aufmerksamkeit. Doch wie arbeitet das BSI? Ist das Amt vorbereitet, wenn Hacker eine Cyberattacke starten? Hartmut Isselhorst, Leiter der Abteilung Cybersicherheit, erklärt, was im Ernstfall passiert – und ob Firmen und Bürger genug für ihre Sicherheit tun.