Pressemitteilung | Cyber-Sicherheitsrat Deutschland e.V.

IT-Sicherheitsgesetz - Keine Hilfe für die Wirtschaft

(Berlin) - Mit dem geplanten IT-Sicherheitsgesetz will Bundesinnenminister Dr. Thomas de Maizière sicherstellen, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. Insbesondere Betreiber kritischer Infrastrukturen (Energie, Finanzen, Logistik, Telekommunikation und Gesundheit), sog. KRITIS, sollen daher vor Cyberangriffen geschützt werden. Der erste Gesetzesentwurf wurde am 5. März 2013 veröffentlicht. Nach diversen weiteren Entwürfen und Beratungen wurde am 19. November der endgültige Gesetzesentwurf veröffentlicht, der am 17. Dezember im Bundeskabinett vorgestellt und besprochen werden soll.

Der Cyber-Sicherheitsrat Deutschland e.V. hat die Entwicklung von Anfang an begleitet. Trotz diverser Entwürfe und Beratungen muss festgestellt werden, dass das Bundesministerium nach wie vor kein überzeugendes Konzept zur Steigerung der IT-Sicherheit in Deutschland hat. Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., stellt diesbezüglich fest: "Das geplante IT-Sicherheitsgesetz wird in dieser Form keinen Beitrag zur Steigerung der IT-Sicherheit in Deutschland leisten. Das BMI hat zwar einige Kritikpunkte berücksichtigt, wesentliche Bereiche bleiben jedoch unzureichend geregelt. Hierzu gehört z.B. die IT-Sicherheit des Bundes, an die geringere Anforderungen gestellt werden als an Unternehmen."

Wesentliche Kritikpunkte sind
- Das Gesetz betrifft KRITIS Unternehmen ab 10 Mitarbeitern und einem Jahresumsatz von mehr als 2 Mio. Euro Der damit geschaffene Aufwand ist unverhältnismäßig im Vergleich zur Bedeutung dieser Unternehmen für Wirtschaft und Gesellschaft.
- Der geplante Zeitrahmen von zwei Jahren für die Entwicklung, Zertifizierung und Umsetzung branchenspezifischer IT-Sicherheitsstandards ist unrealistisch. Dies gilt insbesondere für international operierende Unternehmen, die sich verschiedenen Regelungen anpassen müssen.
- Nach heftiger Kritik soll nun die IT-Sicherheit der Bundesverwaltung ausgebaut werden. Im Detail wird jedoch deutlich, dass das BMI von den Unternehmen mehr fordert, als der Bund bereit ist zu leisten. KRITIS Unternehmen sollen z.B. IT-Mindeststandards einhalten, diese alle zwei Jahre nachweisen und Störungen an das BSI melden. Bundesbehörden hingegen sollen lediglich die vom BSI festgelegten Standards einhalten. Eine Nachweispflicht oder Meldepflicht besteht nicht. Das BSI ist nicht einmal verpflichtet, die Einhaltung zu überprüfen ("kann"). Der CSRD fordert, dass der Bund die Bedeutung seiner IT-Infrastruktur angemessen bewertet und konsequenterweise dieselben Sicherheitsanforderungen stellt, wie an private Unternehmen.
- Leistungspflichten und Leistungsfähigkeit des BSI sollten noch weiter ausgebaut und benannt werden. Es genügt nicht, wenn Betreiber kritischer Infrastrukturen über Störungen informiert werden bzw. das BSI über bekannte Abwehrmöglichkeiten informiert. Es sollte vielmehr verpflichtet werden, bei Abwehr von Angriffen Beistand zu leisten.
- Der CSRD kritisiert von Anfang an, dass die Einbindung der Hard- und Softwarehersteller komplett vernachlässigt wurde. Das BSI geht ausdrücklich davon aus, dass das passende Hard- und Softwareangebot ausgeweitet werde, sobald die KRITIS Unternehmen Produkte nachfragen, die dem IT-Mindeststandard entsprechen. Fraglich bleibt, wie innerhalb von zwei Jahren Mindeststandards sowie Hard- und Software gleichzeitig entwickelt werden sollen.
- Der geplante Erfüllungsaufwand entspricht im Wesentlichen dem Entwurf vom 18. August 2014 und ist zu knapp bemessen. Die vorgesehenen Mehrausgaben, in Höhe von 0,5 Prozent des Haushalts des BMI, stehen in keinem Verhältnis zu den hohen Schäden durch Cyber-Kriminalität.

Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten aus Politik und Wirtschaft gegründet. Der in Berlin ansässige Verein ist politisch neutral und hat zum Zweck Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit zu beraten und im Kampf gegen die Cyber-Kriminalität zu stärken. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Über seine Mitglieder repräsentiert der Verein etwa zwei Millionen Arbeitnehmer aus der Wirtschaft und über 1,8 Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.

Quelle und Kontaktadresse:
Cyber-Sicherheitsrat Deutschland e.V. Pressestelle Georgenstr. 22, 10117 Berlin Telefon: (030) 6796365-18, Fax: (030) 6796365-29

NEWS TEILEN: