- Anzeigen -

Keine positiven Auswirkungen auf die IT-Sicherheit


"IT-Sicherheitsgesetz: Bundesinnenministerium ohne Konzept"
Stellungnahme des Cyber-Sicherheitsrat Deutschland e.V. zum Referentenentwurf des Bundesministeriums des Innern zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 4. November 2014

(10.12.14) - Nach dem Willen der Bundesregierung sollen neue Maßstäbe im Bereich der Cybersicherheit gesetzt werden. Bundesinnenminister Dr. Thomas de Maizière sprach in diesem Zusammenhang davon, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden sollen. Zur Umsetzung dieser Vorgaben wurde das sog. "IT-Sicherheitsgesetz" entworfen. Damit sollen insbesondere Betreiber kritischer Infrastrukturen (Energie, Finanzen, Logistik, Telekommunikation und Gesundheit), sog. KRITIS, vor Cyberangriffen geschützt werden, deren Ausfall weitreichende Folgen für die Gesellschaft hätte. Der erste Entwurf des Gesetzes wurde bereits im März 2013 vorgelegt. Der zweite Entwurf wurde im August 2014 veröffentlicht. Gegenwärtig liegt den Verbänden der dritte Entwurf vom November 2014 vor.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Der Cyber-Sicherheitsrat Deutschland e.V (CSRD) hat die Entwicklung von Anfang an begleitet und muss leider feststellen, dass die vorgeschlagenen Regelungen keine positiven Auswirkungen auf die IT-Sicherheit in Deutschland haben werden. Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., stellt diesbezüglich fest: "Es wird deutlich, dass das Bundesinnenministerium kein Konzept zur Steigerung der IT-Sicherheit in Deutschland hat. Den Verbänden wurde mittlerweile der dritte Gesetzesentwurf vorgelegt, obwohl die Abstimmung zwischen den Ressorts noch immer nicht abgeschlossen ist. Der Entwurf sieht nicht einmal vor, welche finanziellen Mittel zur Verfügung gestellt werden, damit die Behörden ihre Aufgaben ordnungsgemäß erfüllen können."

Obwohl Verbände und Datenschützer in den letzten Monaten konstruktiv am geplanten IT-Sicherheitsgesetz mitgewirkt haben, sind etliche Kritikpunkte noch nicht ausreichend gewürdigt worden:

>> Der Anwendungsbereich des Gesetzes ist vollkommen unverhältnismäßig. Nach dem aktuellen Entwurf sollen auch Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Mio. Euro unter die strengen Vorgaben des Gesetzes fallen. Bei einem Ausfall derartiger Unternehmen kann aber kaum von einer flächendeckenden Versorgungsgefahr gesprochen werden.

>> Zur Vermeidung von Doppelregulierungen soll das Gesetz für bestimmte Branchen nur subsidiär gelten. Dabei wurden jedoch wichtige Details übersehen. So regelt das Energiewirtschaftsgesetz die Meldepflicht von Netzbetreibern, während das IT-Sicherheitsgesetz auch auf Betreiber von Energieanlagen abstellt. Darunter sind auch Betreiber von Energieanlagen zu verstehen, die lediglich nebenbei eine Photovoltaikanlage in Betrieb halten (z.B. große landwirtschaftliche Betriebe, mittelständische Unternehmen). Eine Meldepflicht für diese Unternehmen ist realitätsfern und unverhältnismäßig.

>> Betreiber Kritischer Infrastrukturen im Energiesektor werden aufgrund der Anwendung des EnWG inkl. des dort angedachten IT-Sicherheitskataloges nach §11 Abs.1a, wesentlich benachteiligt gegenüber anderen Betreibern kritischer Infrastrukturen.

>> Der geplante Zeitrahmen von zwei Jahren für die Entwicklung, Zertifizierung und Umsetzung branchenspezifischer IT-Sicherheitsstandards ist unrealistisch. Dies gilt insbesondere für international operierende Unternehmen, die sich verschiedenen Regelungen anpassen müssen.

>> Der Bund selbst und seine Verwaltung verstehen sich seit dem dritten Entwurf nicht mehr als KRITIS. Anscheinend halten sie das Gesetz für nicht praktikabel, weshalb sie sich von dessen Umsetzung ausnehmen wollen. Was die Länder betrifft, so wurde die ursprüngliche Übertragung von Kompetenzen auf das BKA gestrichen. Nach Angaben des Ministeriums seien die Länder mit der gegenwärtigen Fassung zufrieden, es hätten sich aber auch noch nicht alle Länder am Verfahren beteiligt. Dies verdeutlicht zum einen, dass die Länder ihre eigenen Interessen über den Schutz der KRITIS stellen und zum anderen, dass die inhaltliche Abstimmung in diesem Bereich nicht ausreichend koordiniert ist.

>> Die Einbindung der verursachenden Industrie (Soft- und Hardwarehersteller) wurde komplett vernachlässigt.

>> Das Ministerium hat in seiner letzten Anhörung klargemacht, dass der Entwurf schnellstmöglich zur Abstimmung gebracht werden soll. Damit wurden die politischen Ziele über den Sachverstand der beteiligten Verbände gestellt. Diese haben ausdrücklich darauf hingewiesen, dass das Gesetz erhebliche Kosten für die Wirtschaft zur Folge haben wird. Derartige Kosten sind nur gerechtfertigt, wenn das Gesetz auch tatsächlich die IT-Sicherheit erhöht, was bislang nicht angenommen werden kann.

In letzter Konsequenz wird deutlich, dass es anscheinend keine konsistente Cyber-Sicherheitsstrategie des Bundes gibt, die die verschiedenen Belange von Wirtschaft, Wissenschaft und Strafverfolgung berücksichtigt. Durch die Einführung eines solchen Gesetzes würde die Bürokratie ausgebaut und das Ansehen Deutschlands zu Fragen der Cyber-Sicherheit geschmälert. Am Ende würde das Gesetz in seiner aktuellen Fassung sogar zu deutlich weniger Sicherheit führen. (Cyber-Sicherheitsrat Deutschland: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Bitkom zum Patientendaten-Schutz-Gesetz

    Der Bundesdatenschutzbeauftragte hat Korrekturen am Patientendaten-Schutz-Gesetz gefordert. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Deutschland hängt bei der Nutzung digitaler Technologien im Gesundheitswesen gegenüber vielen Ländern um Jahre und teils Jahrzehnte zurück. Die Einführung der elektronischen Patientenakte ist längst überfällig: Sie verbessert nicht nur die medizinische Versorgung der Menschen, sie entlastet auch Ärzte, Krankenhäuser und das gesamte Gesundheitssystem. Ihr angekündigter Start im Januar 2021 darf nicht gefährdet werden. Weitere Verzögerungen können wir uns nicht erlauben. Es ist wichtig, dass alle Beteiligten und die Krankenkassen schnellstmöglich eine Lösung finden, mit der die elektronische Patientenakte zum 1. Januar 2021 eingeführt werden kann und dabei den gesetzlichen Anforderungen entspricht.

  • Privacy Shield-Abkommens zwischen EU und USA

    Zum Urteil des Europäischen Gerichtshofes betreffend die Unwirksamkeit des "Privacy Shield"-Abkommens zwischen der EU und den USA nimmt der Bundesverband IT-Sicherheit e.V. (TeleTrusT) Stellung und gibt zugleich Handlungsempfehlungen für Unternehmen, wie jetzt verfahren werden sollte. Mit seinem Urteil vom 17.06.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DSGVO sicherstellt. Insbesondere stehe Betroffenen in den USA kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantien offen. Die Standardvertragsklauseln (SCC) für die Übermittlung an Auftragsverarbeiter hat der EuGH dagegen nicht als unwirksam angesehen. Einem Transfer von Daten in Nicht-DSGVO-Staaten kann die Entscheidung dennoch entgegenstehen. Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner.

  • Refinanzierung der Banken erschwert

    Der Bankenverband lehnt die von der Europäischen Zentralbank (EZB) verlängerte Empfehlung zum Verzicht auf Dividendenausschüttungen und Aktienrückkäufe bis Anfang 2021 ab. "Ein generelles Ausschüttungsverbot für alle Banken ist aus unserer Sicht nicht sinnvoll. Die EZB hat alle erforderlichen Informationen, um einzelne Banken zu einem Ausschüttungsverzicht aufzufordern. Mit einer pauschalen Verlängerung und der möglichen Ausweitung in das Jahr 2021 werden insbesondere institutionelle Investoren unnötig verunsichert", sagte Christian Ossig, Hauptgeschäftsführer des Bankenverbandes.

  • "Lieferkettengesetz dient allein den Gutmenschen"

    Der Ethikverband der deutschen Wirtschaft fordert, die Pläne für ein Lieferkettengesetz aufzugeben. "Mit diesem Gesetz tragen wir am anderen Ende der Welt zu Ausgrenzung, Ungerechtigkeit und Armut bei", so die Präsidentin des Verbands, Dr. Irina Kummert. Mit einem deutschen Lieferkettengesetz sollen deutsche Unternehmen verpflichtet werden, Standards unserer wohlhabenden westlichen Gesellschaft nicht nur in Deutschland und in Europa, sondern unterschiedslos in allen mehr oder weniger entwickelten Ländern der Welt einheitlich in ihren Lieferketten bis zum letzten Glied zu beachten. Die Befürworter des Lieferkettengesetzes befassen sich zu wenig damit, welche Konsequenzen die Durchsetzung ihrer Moralvorstellungen beispielsweise für eine Frau hat, die in prekären Verhältnissen etwa in einem Land wie Äthiopien ihre Kinder ernähren muss. Seriöse Studien, durchgeführt am Zentrum für Unternehmensverantwortung und Nachhaltigkeit (CCRS) der Universität Zürich, belegen, dass eine Bekleidungsfabrik dort vielfach die einzige Möglichkeit, insbesondere für Frauen ist, Geld zu verdienen und selbstbestimmt zu leben.

  • Befristung der Laufzeiten von Mobilfunkverträgen

    Die Bundesregierung stimmt derzeit mehrere Gesetzesmaßnahmen für die zukünftige Regulierung des Telekommunikationssektors ab, die sogenannte Novelle des Telekommunikationsgesetzes (TKG). Das TKG soll eine entsprechende EU-Richtlinie umsetzen, die bis Ende des Jahres in ein deutsches Gesetz gefasst werden muss. Der Digitalverband Bitkom ruft die Bundesregierung dazu auf, sich eng an den europäischen Vorgaben zu orientieren und den Gesetzesentwurf zeitnah mit den betroffenen Branchen zu erörten. "Seit fast zwei Jahren diskutiert die Bundesregierung über das neue Telekommunikationsgesetz. Auf der Zielgeraden dürfen keine nationalen Sonderwege eingeschlagen werden", sagt Bitkom-Präsident Achim Berg. "Oberstes Ziel muss bleiben, den Breitbandausbau zu beschleunigen."