IT-Sicherheitsgesetz

"Es geht um die Methoden der Angreifer"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Im zweiten Anlauf soll das IT-Sicherheitsgesetz nun kommen - mit Meldepflicht, Mindeststandards und verordneter Mittelaufstockung für bestimmte öffentliche Stellen. Im Gespräch mit dem Security-Experten Dror-John Röcher von Computacenter erläutern wir die Folgen für deutsche Unternehmen.

CW: Was kann ein IT-Sicherheitsgesetz bewirken?

DROR-JOHN RÖCHER: Positiv zu bewerten ist, dass sich die Politik des Themas überhaupt annimmt. Es geht in die richtige Richtung. Die Mittelaufstockung für einige Stellen ist absolut nötig, auch die Meldepflicht kann einen positiven Beitrag leisten, wenn sie denn richtig gehandhabt wird. Es braucht natürlich einen positiven Rückfluss in Richtung der Unternehmen, die melden. Und eine gewisse Öffentlichkeitsarbeit.

Dror-John Röcher ist bei Computacenter als Lead Consultant Secure Information tätig.
Dror-John Röcher ist bei Computacenter als Lead Consultant Secure Information tätig.
Foto: Computacenter

CW: Inwiefern? Die Meldung selbst soll ja nun doch anonym erfolgen?

RÖCHER: Es geht ja nicht um die Unternehmen, die Sicherheitsvorfälle hatten, sondern um die Methoden der Angreifer. Für die Öffentlichkeit ist interessant, über welche Vektoren die Angreifer verfügen und welche Stellen im Unternehmen besonders gefährdet sind. Eine Art Lagebericht - Statusupdate sozusagen, für alle die, die eventuell selbst in der verteidigenden Rolle sind und künftig sein werden.

CW: Was ist mit den geplanten Erkennungs- und Abwehrsystemen von Betreibern kritischer Infrastrukturen? Gibt es die nicht schon längst?

RÖCHER: Für einen Teil der Unternehmen ist der Gesetzesentwurf sicherlich obsolet - ich denke da beispielsweise an die Telekommunikationsunternehmen, für die es analoge Regelungen bereits gibt. Das IT-Sicherheitsgesetz ist übrigens so formuliert, dass Branchenstandards auf Antrag vom BSI anerkannt werden können - also Regeln, die sich eine Branche bereits selbst gegeben hat. Gerade Großunternehmen arbeiten bereits nach solchen Standards.

"Folgen für Großunternehmen eher gering"

CW: Also sind die größten Auswirkungen eher im KMU-Sektor zu erwarten?

RÖCHER: Außer der Etablierung regelmäßiger Audits und Reportings alle zwei Jahre dürften die Auswirkungen für Großunternehmen durch die neuen gesetzlichen Regelungen eher gering ausfallen. Die Folgen würden in der Tat eher für die kleinen und mittelständischen Unternehmen spürbar, weil diese das geforderte Sicherheitsniveau bisher nicht flächendeckend hatten und auch keine Mittel dafür bereitgestellt hatten. Im Vergleich zur Gesamtsumme der allgemeinen Betriebskosten jedoch dürften die Ausgaben für IT-Sicherheit auch dann nur einen geringen Anteil ausmachen.

CW: Die Kosten sind ein großer Kritikpunkt der Wirtschaft. Wer bezahlt das Ganze?

RÖCHER: Der Steuerzahler wird sicherlich nicht für die Auswirkungen der Privatwirtschaft aufkommen, aber vermutlich teilweise für die Auswirkungen der öffentlichen Hand, die ja auch wesentliche Teile der kritischen Infrastrukturen betreibt. Auch Kleinstunternehmen sollen laut Entwurf von den finanziellen Belastungen ausgenommen werden. Der Mittelstand wird die Last tragen müssen, diese aber natürlich über den Preis an den Endverbraucher weitergeben. Trotzdem haben auch die Unternehmen selbst ein gewisses Eigeninteresse, Security-Mindeststandards einzuführen.

CW: Wann ist mit der Umsetzung des IT-Sicherheitsgesetzes zu rechnen?

RÖCHER: Ohne konkrete Prognosen abgeben zu können, gehe ich davon aus, dass das Gesetz in seiner jetzigen Entwurfsform ohne große Änderungen umgesetzt werden wird. Sobald es verabschiedet ist, haben alle Unternehmen dann noch einmal zwei Jahre Zeit, eigene Branchenstandards zu definieren und ihre eigene Infrastruktur auf die neuen Gegebenheiten abzustimmen.