Keine positiven Auswirkungen auf die IT-Sicherheit


"IT-Sicherheitsgesetz: Bundesinnenministerium ohne Konzept"
Stellungnahme des Cyber-Sicherheitsrat Deutschland e.V. zum Referentenentwurf des Bundesministeriums des Innern zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 4. November 2014

(10.12.14) - Nach dem Willen der Bundesregierung sollen neue Maßstäbe im Bereich der Cybersicherheit gesetzt werden. Bundesinnenminister Dr. Thomas de Maizière sprach in diesem Zusammenhang davon, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden sollen. Zur Umsetzung dieser Vorgaben wurde das sog. "IT-Sicherheitsgesetz" entworfen. Damit sollen insbesondere Betreiber kritischer Infrastrukturen (Energie, Finanzen, Logistik, Telekommunikation und Gesundheit), sog. KRITIS, vor Cyberangriffen geschützt werden, deren Ausfall weitreichende Folgen für die Gesellschaft hätte. Der erste Entwurf des Gesetzes wurde bereits im März 2013 vorgelegt. Der zweite Entwurf wurde im August 2014 veröffentlicht. Gegenwärtig liegt den Verbänden der dritte Entwurf vom November 2014 vor.

Der Cyber-Sicherheitsrat Deutschland e.V (CSRD) hat die Entwicklung von Anfang an begleitet und muss leider feststellen, dass die vorgeschlagenen Regelungen keine positiven Auswirkungen auf die IT-Sicherheit in Deutschland haben werden. Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., stellt diesbezüglich fest: "Es wird deutlich, dass das Bundesinnenministerium kein Konzept zur Steigerung der IT-Sicherheit in Deutschland hat. Den Verbänden wurde mittlerweile der dritte Gesetzesentwurf vorgelegt, obwohl die Abstimmung zwischen den Ressorts noch immer nicht abgeschlossen ist. Der Entwurf sieht nicht einmal vor, welche finanziellen Mittel zur Verfügung gestellt werden, damit die Behörden ihre Aufgaben ordnungsgemäß erfüllen können."

Obwohl Verbände und Datenschützer in den letzten Monaten konstruktiv am geplanten IT-Sicherheitsgesetz mitgewirkt haben, sind etliche Kritikpunkte noch nicht ausreichend gewürdigt worden:

>> Der Anwendungsbereich des Gesetzes ist vollkommen unverhältnismäßig. Nach dem aktuellen Entwurf sollen auch Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Mio. Euro unter die strengen Vorgaben des Gesetzes fallen. Bei einem Ausfall derartiger Unternehmen kann aber kaum von einer flächendeckenden Versorgungsgefahr gesprochen werden.

>> Zur Vermeidung von Doppelregulierungen soll das Gesetz für bestimmte Branchen nur subsidiär gelten. Dabei wurden jedoch wichtige Details übersehen. So regelt das Energiewirtschaftsgesetz die Meldepflicht von Netzbetreibern, während das IT-Sicherheitsgesetz auch auf Betreiber von Energieanlagen abstellt. Darunter sind auch Betreiber von Energieanlagen zu verstehen, die lediglich nebenbei eine Photovoltaikanlage in Betrieb halten (z.B. große landwirtschaftliche Betriebe, mittelständische Unternehmen). Eine Meldepflicht für diese Unternehmen ist realitätsfern und unverhältnismäßig.

>> Betreiber Kritischer Infrastrukturen im Energiesektor werden aufgrund der Anwendung des EnWG inkl. des dort angedachten IT-Sicherheitskataloges nach §11 Abs.1a, wesentlich benachteiligt gegenüber anderen Betreibern kritischer Infrastrukturen.

>> Der geplante Zeitrahmen von zwei Jahren für die Entwicklung, Zertifizierung und Umsetzung branchenspezifischer IT-Sicherheitsstandards ist unrealistisch. Dies gilt insbesondere für international operierende Unternehmen, die sich verschiedenen Regelungen anpassen müssen.

>> Der Bund selbst und seine Verwaltung verstehen sich seit dem dritten Entwurf nicht mehr als KRITIS. Anscheinend halten sie das Gesetz für nicht praktikabel, weshalb sie sich von dessen Umsetzung ausnehmen wollen. Was die Länder betrifft, so wurde die ursprüngliche Übertragung von Kompetenzen auf das BKA gestrichen. Nach Angaben des Ministeriums seien die Länder mit der gegenwärtigen Fassung zufrieden, es hätten sich aber auch noch nicht alle Länder am Verfahren beteiligt. Dies verdeutlicht zum einen, dass die Länder ihre eigenen Interessen über den Schutz der KRITIS stellen und zum anderen, dass die inhaltliche Abstimmung in diesem Bereich nicht ausreichend koordiniert ist.

>> Die Einbindung der verursachenden Industrie (Soft- und Hardwarehersteller) wurde komplett vernachlässigt.

>> Das Ministerium hat in seiner letzten Anhörung klargemacht, dass der Entwurf schnellstmöglich zur Abstimmung gebracht werden soll. Damit wurden die politischen Ziele über den Sachverstand der beteiligten Verbände gestellt. Diese haben ausdrücklich darauf hingewiesen, dass das Gesetz erhebliche Kosten für die Wirtschaft zur Folge haben wird. Derartige Kosten sind nur gerechtfertigt, wenn das Gesetz auch tatsächlich die IT-Sicherheit erhöht, was bislang nicht angenommen werden kann.

In letzter Konsequenz wird deutlich, dass es anscheinend keine konsistente Cyber-Sicherheitsstrategie des Bundes gibt, die die verschiedenen Belange von Wirtschaft, Wissenschaft und Strafverfolgung berücksichtigt. Durch die Einführung eines solchen Gesetzes würde die Bürokratie ausgebaut und das Ansehen Deutschlands zu Fragen der Cyber-Sicherheit geschmälert. Am Ende würde das Gesetz in seiner aktuellen Fassung sogar zu deutlich weniger Sicherheit führen. (Cyber-Sicherheitsrat Deutschland: ra)


Meldungen: Kommentare und Meinungen

  • Datenschutz und Informationsfreiheit

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Louisa Specht-Riemenschneider ihren Tätigkeitsbericht vorgestellt. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist mit Blick auf die digitale Transformation und Zukunftstechnologien wie Künstlicher Intelligenz eines der wichtigsten in Deutschland. Der vorgelegte Tätigkeitsbericht zeigt den eingeschlagenen und dringend notwendigen Perspektivwechsel der BfDI, die Datenschutz und verantwortungsvolle Datennutzung gleichermaßen in den Blick nimmt."

  • Bitkom zum "AI Continent Action Plan" der EU

    Die EU-Kommission hat den "AI Continent Action Plan" vorgestellt, mit dem Europa bei Künstlicher Intelligenz zu den aktuell führenden Nationen USA und China aufschließen will. Dazu erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: "Mit dem AI Continent Action Plan verschiebt die EU den Fokus von KI-Regulierung auf KI-Förderung - und dafür ist es höchste Zeit. Die europäischen Staaten können nur gemeinsam zu den führenden KI-Nationen USA und China aufschließen und die Grundlagen für eine wettbewerbsfähige, europäische KI schaffen. Eine KI aus Europa würde einen entscheidenden Beitrag zu Europas digitaler Souveränität leisten. Die aktuelle geopolitische Lage und die angespannten Handelsbeziehungen zu den USA machen dies notwendiger denn je."

  • Rückschlag im Kampf gegen Korruption

    Transparency Deutschland kritisiert den Koalitionsvertrag von Union und SPD als unzureichend im Hinblick auf Korruptionsbekämpfung und -prävention sowie Transparenz. Keine der drei Kernforderungen, die die Antikorruptionsorganisation bereits im Wahlkampf an die künftige Bundesregierung formuliert hatte, wurde im Koalitionsvertrag berücksichtigt. In der nächsten Legislaturperiode bleiben damit gravierende Defizite bestehen - und der Handlungsbedarf verschärft sich.

  • Nachhaltigkeit in der Unternehmensstrategie

    Die Europäische Kommission hat am 26.02.25 mit der Omnibus-Richtlinie ein neues Paket von Vorschlägen zur Vereinfachung der EU-Nachhaltigkeitsvorschriften und zur Steigerung der Wettbewerbsfähigkeit vorgelegt. Stefan Premer, Principal Sustainability Consultant - Global Lead Climate Strategy bei Sphera, Anbieterin von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen, erläutert unten seine Sicht zu diesen Vorschlägen.

  • Risiken frühzeitig zu kontrollieren

    Die Regulierung von KI ist ein zentrales politisches und wirtschaftliches Thema - doch während Europa auf Vorschriften setzt, treiben die USA und China die Umsetzung voran. Die EU versucht mit dem AI-Act, Risiken frühzeitig zu kontrollieren, doch der technologische Fortschritt lässt sich nicht per Gesetz erzwingen. Unternehmen müssen Verantwortung übernehmen, indem sie Transparenz fördern und Vertrauen schaffen - nicht nur aus ethischen Gründen, sondern auch für wirtschaftliche Vorteile.

Keine Einbettung in europäische Gesetzgebung Schaden für alle mit deutlich langfristigen Folgen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen