aktuelles Schlaglicht

Anzeige

Anzeige: accessec

10. Juli 2014

BITKOM: Geplantes IT-Sicherheitsgesetz wird teuer

Der [externer Link] Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) hat im Zusammenhang mit dem geplanten IT-Sicherheitsgesetz vor hohen Bürokratiekosten gewarnt. Laut einer aktuellen Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, BITKOM und weiteren Branchenverbänden entstünden der deutschen Wirtschaft allein aus der beabsichtigten Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr. Nach BITKOM-Prognosen kommen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe hinzu.

Ziel des geplanten Gesetzes ist es, den Behörden anhand von Hinweisen der Unternehmen ein besseres Bild über die aktuelle Sicherheitslage im Internet zu verschaffen. Zudem sollen für die Versorgungssicherheit besonders wichtige Branchen dazu verpflichtet werden, bestimmte Sicherheitsstandards für ihre IT-Systeme einzuhalten. "Das IT-Sicherheitsgesetz hat herausragende Bedeutung für den Schutz kritischer Infrastrukturen", stellte BITKOM-Präsident Prof. Dieter Kempf fest. "Dabei muss das Sicherheitsinteresse mit dem praktisch Machbaren und dem wirtschaftlich Vertretbaren in Einklang gebracht werden." In Kürze wird ein neuer Gesetzentwurf des Bundesinnenministeriums erwartet – ein erster Entwurf aus dem Vorjahr ist nicht verabschiedet worden. Aus Sicht des BITKOM liegt die Herausforderung nun in der konkreten Ausformulierung: So müsse festgelegt werden, welche Unternehmen welcher Branchen als Betreiber kritischer Infrastruktur gelten.

Bei der Meldepflicht müsse präzisiert werden, welche Sicherheitsvorfälle als schwerwiegend eingestuft werden können – auf der Grundlage des vorliegenden älteren Gesetzentwurfs gehe die KPMG-Studie von rund 2,3 Millionen Meldungen pro Jahr aus. "Entscheidend ist ein Meldeverfahren für IT-Sicherheitsvorfälle, das die Anonymität des Meldenden ermöglicht. Nur so können Reputationsverluste der Unternehmen vermieden werden, sollten gemeldete Cyberattacken öffentlich werden", betonte Kempf. Als Lösungsvorschlag wurde im Rahmen der Studie ein Verfahren entwickelt, das pseudonymisierte Meldungen an einen Treuhänder vorsieht. Kempf: "Das Treuhändermodell ermöglicht weitgehende Anonymität. Gleichzeitig besteht die Möglichkeit für die Behörden, Kontakt zu dem Unternehmen aufzunehmen."

Die geforderten IT-Sicherheitsstandards müssten zudem branchenspezifisch entwickelt werden, forderte der BITKOM, das sei allerdings bereits im vorliegenden Gesetzentwurf vorgesehen. In diesem Zusammenhang verwies der Verband auch auf die Verantwortung des Staates selbst, der letztlich der größte Betreiber kritischer Infrastruktur sei: "Die entsprechenden Meldepflichten und Sicherheitsstandards sollten daher auch für staatliche Stellen gelten", unterstrich Kempf.

Die KPMG-Studie "IT-Sicherheit in Deutschland – Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes" steht im Internet zur Verfügung: [externer Link] http://www.bitkom.org/de/themen/54746_79755.aspx.