Umstrittene Meldepflicht

Wirtschaft und Verbände kritisieren IT-Sicherheitsgesetz

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Der IT-Branchenverband Bitkom fordert Nachbesserungen am IT-Sicherheitsgesetz und lehnt eine Ausweitung von Meldepflichten ab. Innenminister Hans-Peter Friedrich will Firmen dagegen gesetzlich verpflichten, Cyber-Attacken zu melden.
 Bundesinnenminister Hans-Peter Friedrich: "IT-Ausfälle stellen eine reale Gefahr dar."
Bundesinnenminister Hans-Peter Friedrich: "IT-Ausfälle stellen eine reale Gefahr dar."
Foto: BMI

Der Streit um das IT-Sicherheitsgesetz wird schärfer. Bundesinnenminister Hans-Peter Friedrich will die Betreiber von kritischen Infrastrukturen per Gesetz verpflichten, mehr auf IT-Security zu achten und Angriffe auf ihre Netze zu melden. Branchenverbände sehen diesen Vorstoß kritisch. Zwar begrüßte der Bitkom grundsätzlich das Ziel, "Deutschland besser vor Cyber-Angriffen zu schützen", heißt es in einer offiziellen Mitteilung. Jedoch müsse der vorliegende Referentenentwurf noch nachgebessert werden. Es gelte klarer zu definieren, welche Firmen welche Vorfälle zu melden hätten. Die Industrievertreter warnen vor einem zu hohen bürokratischen Aufwand, sollten die Meldepflichten ausgeweitet werden.

Doch dazu sieht man im Bundesinnenministerium offenbar keine Alternative. Bereits heute sei die Hälfte aller deutschen Unternehmen vom Internet abhängig. Damit stiegen auch die Risiken. "IT-Ausfälle stellen eine reale Gefahr dar", heißt es in dem Gesetzesentwurf, den Friedrich Anfang März Wirtschaft und Verbänden zur Kommentierung vorgelegt hatte. "Angriffe nehmen stetig zu und treffen Unternehmen quer durch alle Branchen." Jedem deutschen Großunternehmen würden jährlich im Schnitt 4,8 Millionen Euro Kosten durch Cyber-Kriminalität entstehen. Die Bundesverwaltung registriere täglich zwischen fünf und zehn Spionageangriffe aus dem Netz.

Angesichts dieser Situation sieht man in Berlin dringend Handlungsbedarf. Das Niveau der IT-Sicherheit der kritischen Infrastrukturen biete derzeit ein uneinheitliches Bild. Während manche Bereiche über ein ausgeprägtes Risiko-Management und übergreifende Sicherheitskonzepte verfügten, seien diese in anderen Bereichen rudimentär oder gar nicht entwickelt. Teilweise fehlten auch gesetzliche Vorgaben zur IT-Sicherheit. "Dieser Zustand ist nicht hinnehmbar", steht im Gesetzentwurf.

Gesetzentwurf zu unklar

Deshalb sollen die Betreiber kritischer Infrastrukturen gesetzlich verpflichtet werden, "einen Mindeststandard an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Sicherheitsvorfälle zu melden". Dort würden die Informationen gesammelt, ausgewertet und die Ergebnisse den Betreibern der kritischen Infrastrukturen zur Verfügung gestellt. Darüber hinaus stünden die Telekommunikations- und Telemediendiensteanbieter in der Pflicht, nicht nur die ihnen anvertrauten Daten zu schützen, sondern sämtliche Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe abzusichern und Sicherheitsvorfälle unverzüglich zu melden.

Diese Anbieter seien bereits heute dazu verpflichtet, kritisiert der Bitkom. Eine weitere gesetzliche Regelung sei nicht notwendig. Auch sonst gehen die Branchenvertreter mit dem Gesetzentwurf hart ins Gericht. Vieles bleibe unklar, moniert Bitkom-Präsident Dieter Kempf - beispielsweise welche Firmen überhaupt als Betreiber kritischer Infrastrukturen einzuordnen seien. Dies erst später im Rahmen einer Verordnung zu konkretisieren, "ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor". Kempf warnt vor einer Flut irrelevanter Meldungen. Das Ziel, ein genaues Bild der Sicherheitslage zu erhalten, würde verfehlt. Es müsse klargestellt sein, was mit "erheblichen IT-Sicherheitsvorfällen" gemeint sei.

Kempf plädiert für eine freiwillige Meldung von Sicherheitsvorfällen. Das lehnt Friedrich jedoch ab. Die Erfahrung habe gezeigt. "dass wir in der Vergangenheit allein mit freiwilligen Maßnahmen hinter unseren Zielen zurückgeblieben sind". Deshalb brauche es einen gesetzlichen Rahmen. Ob es den in der jetzt vorliegenden Form geben wird, ist jedoch fraglich. Regierungsintern ist der Entwurf noch nicht abgestimmt. Gegenwind dürfte es vor allem von Seiten des Bundeswirtschaftsministers Philipp Rösler geben. Dieser hatte in der Vergangenheit wiederholt Bedenken gegen den Vorstoß seines Kabinettskollegen geäußert. Der FDP-Politiker befürchtet Nachteile für deutsche Unternehmen.

Bundeskabinett muss beraten

Die Diskussionen dürften also weitergehen. Nachdem die Frist für Stellungnahmen am 5. April abgelaufen ist, soll der Entwurf im Bundeskabinett beraten werden. Experten rechnen jedoch nicht damit, dass das IT-Sicherheitsgesetz noch in der laufenden Legislaturperiode in Kraft tritt. (ba)