Keine positiven Auswirkungen auf die IT-Sicherheit


"IT-Sicherheitsgesetz: Bundesinnenministerium ohne Konzept"
Stellungnahme des Cyber-Sicherheitsrat Deutschland e.V. zum Referentenentwurf des Bundesministeriums des Innern zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 4. November 2014

(10.12.14) - Nach dem Willen der Bundesregierung sollen neue Maßstäbe im Bereich der Cybersicherheit gesetzt werden. Bundesinnenminister Dr. Thomas de Maizière sprach in diesem Zusammenhang davon, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden sollen. Zur Umsetzung dieser Vorgaben wurde das sog. "IT-Sicherheitsgesetz" entworfen. Damit sollen insbesondere Betreiber kritischer Infrastrukturen (Energie, Finanzen, Logistik, Telekommunikation und Gesundheit), sog. KRITIS, vor Cyberangriffen geschützt werden, deren Ausfall weitreichende Folgen für die Gesellschaft hätte. Der erste Entwurf des Gesetzes wurde bereits im März 2013 vorgelegt. Der zweite Entwurf wurde im August 2014 veröffentlicht. Gegenwärtig liegt den Verbänden der dritte Entwurf vom November 2014 vor.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Der Cyber-Sicherheitsrat Deutschland e.V (CSRD) hat die Entwicklung von Anfang an begleitet und muss leider feststellen, dass die vorgeschlagenen Regelungen keine positiven Auswirkungen auf die IT-Sicherheit in Deutschland haben werden. Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., stellt diesbezüglich fest: "Es wird deutlich, dass das Bundesinnenministerium kein Konzept zur Steigerung der IT-Sicherheit in Deutschland hat. Den Verbänden wurde mittlerweile der dritte Gesetzesentwurf vorgelegt, obwohl die Abstimmung zwischen den Ressorts noch immer nicht abgeschlossen ist. Der Entwurf sieht nicht einmal vor, welche finanziellen Mittel zur Verfügung gestellt werden, damit die Behörden ihre Aufgaben ordnungsgemäß erfüllen können."

Obwohl Verbände und Datenschützer in den letzten Monaten konstruktiv am geplanten IT-Sicherheitsgesetz mitgewirkt haben, sind etliche Kritikpunkte noch nicht ausreichend gewürdigt worden:

>> Der Anwendungsbereich des Gesetzes ist vollkommen unverhältnismäßig. Nach dem aktuellen Entwurf sollen auch Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Mio. Euro unter die strengen Vorgaben des Gesetzes fallen. Bei einem Ausfall derartiger Unternehmen kann aber kaum von einer flächendeckenden Versorgungsgefahr gesprochen werden.

>> Zur Vermeidung von Doppelregulierungen soll das Gesetz für bestimmte Branchen nur subsidiär gelten. Dabei wurden jedoch wichtige Details übersehen. So regelt das Energiewirtschaftsgesetz die Meldepflicht von Netzbetreibern, während das IT-Sicherheitsgesetz auch auf Betreiber von Energieanlagen abstellt. Darunter sind auch Betreiber von Energieanlagen zu verstehen, die lediglich nebenbei eine Photovoltaikanlage in Betrieb halten (z.B. große landwirtschaftliche Betriebe, mittelständische Unternehmen). Eine Meldepflicht für diese Unternehmen ist realitätsfern und unverhältnismäßig.

>> Betreiber Kritischer Infrastrukturen im Energiesektor werden aufgrund der Anwendung des EnWG inkl. des dort angedachten IT-Sicherheitskataloges nach §11 Abs.1a, wesentlich benachteiligt gegenüber anderen Betreibern kritischer Infrastrukturen.

>> Der geplante Zeitrahmen von zwei Jahren für die Entwicklung, Zertifizierung und Umsetzung branchenspezifischer IT-Sicherheitsstandards ist unrealistisch. Dies gilt insbesondere für international operierende Unternehmen, die sich verschiedenen Regelungen anpassen müssen.

>> Der Bund selbst und seine Verwaltung verstehen sich seit dem dritten Entwurf nicht mehr als KRITIS. Anscheinend halten sie das Gesetz für nicht praktikabel, weshalb sie sich von dessen Umsetzung ausnehmen wollen. Was die Länder betrifft, so wurde die ursprüngliche Übertragung von Kompetenzen auf das BKA gestrichen. Nach Angaben des Ministeriums seien die Länder mit der gegenwärtigen Fassung zufrieden, es hätten sich aber auch noch nicht alle Länder am Verfahren beteiligt. Dies verdeutlicht zum einen, dass die Länder ihre eigenen Interessen über den Schutz der KRITIS stellen und zum anderen, dass die inhaltliche Abstimmung in diesem Bereich nicht ausreichend koordiniert ist.

>> Die Einbindung der verursachenden Industrie (Soft- und Hardwarehersteller) wurde komplett vernachlässigt.

>> Das Ministerium hat in seiner letzten Anhörung klargemacht, dass der Entwurf schnellstmöglich zur Abstimmung gebracht werden soll. Damit wurden die politischen Ziele über den Sachverstand der beteiligten Verbände gestellt. Diese haben ausdrücklich darauf hingewiesen, dass das Gesetz erhebliche Kosten für die Wirtschaft zur Folge haben wird. Derartige Kosten sind nur gerechtfertigt, wenn das Gesetz auch tatsächlich die IT-Sicherheit erhöht, was bislang nicht angenommen werden kann.

In letzter Konsequenz wird deutlich, dass es anscheinend keine konsistente Cyber-Sicherheitsstrategie des Bundes gibt, die die verschiedenen Belange von Wirtschaft, Wissenschaft und Strafverfolgung berücksichtigt. Durch die Einführung eines solchen Gesetzes würde die Bürokratie ausgebaut und das Ansehen Deutschlands zu Fragen der Cyber-Sicherheit geschmälert. Am Ende würde das Gesetz in seiner aktuellen Fassung sogar zu deutlich weniger Sicherheit führen. (Cyber-Sicherheitsrat Deutschland: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Praktikabilität des Blauen Engels

    Die vom eco Verband initiierte Allianz zur Stärkung digitaler Infrastrukturen kritisiert die vom Umweltbundesamt (UBA) vorgesehenen Richtlinien-Neuerungen des Blauen Engels als weiterhin untauglich und praxisfern. Dazu sagt Dr. Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland: "Der Blaue Engel muss handhabbar und praktikabel für Rechenzentren werden. Bei der Überarbeitung des Umweltzeichens hat das UBA die Gelegenheit verstreichen lassen, den sehr starren Anforderungskatalog flexibler auszugestalten und die Praktikabilität des Blauen Engels zu stärken."

  • "Was erlauben DSK?"

    Vor 25 Jahren gab es die Wutrede von Herrn Trapattoni mit dem Ausruf: "Was erlauben Strunz?" Jeder mag sich seine Meinung zu Microsoft 365 bilden, aber heute müsste der Ausruf lauten: "Was erlauben DSK?" In einem Artikel der FAZ vom 13. Januar 2023 beginnen die Autoren Kristin Benedikt, Thomas Kranig und Professor Dr. Rolf Schwartmann ihren Beitrag mit: "Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht, die es in sich hat. Microsoft-Kunden können danach einen rechtmäßigen Einsatz der Software nicht nachweisen, mit anderen Worten: Microsoft 365 ist rechtswidrig."

  • BGH zur Haftung für Affiliate-Links

    In seinem Urteil vom 26. Januar 2023 - I ZR 27/22 hat der BGH entschieden, dass Online-Händler für Werbelinks auf Partnerseiten nicht haften. Bei Affiliate-Links können Teilnehmende eines Partnerprogramms auf eigenen Seiten einen Link zu Produkten eines Online-Händlers setzen und bekommen dafür eine Provision.

  • Bitkom zur EU-Richtlinie zur Plattformarbeit

    Das EU-Parlament hat ihre Position zur geplanten Richtlinie zur Regulierung der Plattformarbeit festgelegt. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Plattformarbeit braucht einen EU-weit einheitlichen Regulierungsrahmen, der unerwünschte Entwicklungen verhindert, ohne diese neue Form der Arbeit abzuwürgen. Wer über digitale Arbeitsplattformen arbeitet, muss genau wissen, welche arbeitsrechtlichen und sonstigen Bedingungen gelten. Und wer über Plattformen Aufträge, Aufgaben oder Jobs anbietet, muss die juristischen Konsequenzen schnell und sicher erfassen können. Dies muss auch das Ziel der anstehenden Trilog-Verhandlungen sein."

  • Datenschutzpflichten für Unternehmen verschärft

    In seinem Urteil hat der Europäische Gerichtshof (EuGH) geklärt, inwieweit Verbrauchern ein Auskunftsrecht zu von Unternehmen verarbeiteten Daten nach der DSGVO zusteht. Konkret betraf dies die Frage, ob ein Unternehmen die genauen Kontaktdaten offenlegen muss, an die es die Daten des Betroffenen weitergegeben hat oder lediglich eine Kategorie, wie zum Beispiel NGO, IT-Unternehmen oder ähnliches ausreicht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen