Am Freitag, den 12. Juni, soll im Bundestag eine Änderung des IT-Sicherheitsgesetzes verabschiedet werden, welches künftig Meldepflichten für IT-Sicherheitsvorfälle in den Sektoren Energie, Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen vorsieht.
Die betroffenen Unternehmen müssten dann als Betreiber sogenannter kritischer Infrastrukturen nicht nur mittels Audits nachweisen, dass sie IT-Sicherheitsstandards einhalten, ihnen drohten bei Missachtung der Meldepflicht von Hackerangriffen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch Bußgelder. Der Beschlussvorschlag sieht zudem vor, dass Telekommunikationsanbieter verpflichtet werden, Nutzer auf Sicherheitsmängel aufmerksam zu machen und sie dabei zu unterstützen, Störungen zu beseitigen. Und auch Telemedienanbieter, also jeder, der geschäftsmäßig eine Website betreibt, müsste künftig Mindest-IT-Sicherheitsstandards einhalten.
Die Sächsischen Industrie- und Handelskammern (IHKs) befürworten die grundlegende Zielstellung der Gesetzesnovelle. Dr. Günter Bruntsch, Präsident der IHK Dresden, die derzeit die Sprecherrolle der IHKs in Sachsen innehat, betont daher auch: “Für Information und Kommunikation, aber auch als Absatzkanal, besitzt das Internet für die Wirtschaft existenzielle Bedeutung. Cyber-Attacken können daher enorme Auswirkungen auf Wettbewerb und Sicherheit haben. Vor dem Hintergrund einer zunehmenden Vernetzung in einer “Wirtschaft 4.0″ müssen sich Staat und Unternehmen zwingend mit diesen Risiken auseinandersetzen.”
Hinsichtlich seiner konkreten Auswirkungen hinterlässt aber leider auch dieser Gesetzvorschlag wieder viele Fragezeichen. So wird von rund 2.000 großen und mittleren Unternehmen gesprochen, für die die Meldepflichten zutreffen sollen. Eine genaue Definition dafür gibt es ebenso wenig, wie zur Frage, welche Vorfälle überhaupt zu melden sind. Diese und weitere Fragen sollen erst später im Rahmen einer Rechtsverordnung geklärt werden. Die vagen Vorgaben des Gesetzentwurfs bergen außerdem große Kostenrisiken für die Unternehmen, sollten nicht nur Investitionen für die Einhaltung höherer Sicherheitsstandards erforderlich werden, sondern auch die gesetzlich vorgeschriebenen Meldungen zu erheblichem bürokratischen Aufwand führen. Und wenn es der Gesetzgeber mit seinem Sicherheitsansinnen ernst nimmt, muss die Frage erlaubt sein, warum der öffentliche Sektor nicht in den Prozess einbezogen wird, betreibt er doch nachweislich eine Vielzahl kritischer Infrastrukturen.
Das Fazit der Kammern fällt daher auch gespalten aus. IHK-Präsident Bruntsch dazu: “Unabhängig davon, dass ich die geplanten Verpflichtungen nur für schwer umsetz- und kontrollierbar halte, erscheint mir das Ganze eher ein Schnellschuss zu sein, von dem angesichts der vielen Fragen und Diskussionspunkte in dieser Form abzuraten ist. Die Unternehmen haben ein hohes Eigeninteresse daran, ihre Werte zu schützen, weshalb es auch schon eine Vielzahl von Initiativen zur Verbesserung der IT-Sicherheit gibt. Der Gesetzgeber sollte diese erst einmal genau analysieren, bevor er zu gesetzlichen Regelungen greift. Außerdem wird auf europäischer Ebene gerade der Entwurf einer Richtlinie zur Netz- und Informationssicherheit diskutiert, was wiederum zu Komplikationen mit einer Individualregelung auf nationaler Ebene führen kann.”
Keine Kommentare bisher