IT-Sicherheitsgesetz unzureichend


Es besteht die Gefahr, dass die Industrie bei der Bestimmung von Sicherheitsstandards übergangen wird
Arne Schönbohm, Präsident Cyber-Sicherheitsrat Deutschland e.V.: "Es fehlt in Deutschland nach wie vor an einem überzeugenden staatlichen Konzept für Cyber-Sicherheit"

(14.10.14) - Um besonders kritische Infrastrukturen (Kritis) vor Cyberangriffen zu schützen, hat die Bundesregierung bereits im März 2013 einen Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt. Dieser Entwurf wurde nach heftiger Kritik überarbeitet und liegt nun in der Fassung vom 18. August 2014 vor. Der Cyber-Sicherheitsrat Deutschland e.V. hat auch den gegenwärtigen Gesetzesentwurf ausgewertet. Arne Schönbohm, Präsident Cyber-Sicherheitsrat Deutschland e.V., kommt zu dem Ergebnis: "Es fehlt in Deutschland nach wie vor an einem überzeugenden staatlichen Konzept für Cyber-Sicherheit. Der gegenwärtige Gesetzesentwurf wird weder die Sicherheit der deutschen IT-Infrastruktur in signifikanter Weise erhöhen, noch Kriminelle von Angriffen auf kritische Infrastrukturen abhalten. Der Bund fordert vielmehr von der Wirtschaft Maßnahmen, die selbst der Staat, als Betreiber kritischer Infrastrukturen, nicht erfüllen will."

Folgende Punkte sind unzureichend geregelt:
>> Die geplante Umsetzungsfrist von zwei Jahren ist zu knapp bemessen, um IT-Sicherheitsstandards zu entwickeln und einzuführen. Insbesondere müssen bei der Entwicklung von Standards, internationale Anforderungen berücksichtigt werden. Dies bedeutet einen erhöhten Zeitaufwand.

>> Es besteht die Gefahr, dass die Industrie bei der Bestimmung von Sicherheitsstandards übergangen wird. Der Entwurf sieht zwar grundsätzlich eine Kooperation zwischen BSI und Industrie vor, jedoch soll das BSI im Ergebnis allein über die Geeignetheit von Standards entscheiden können.

>> Unternehmen sollen IT-Sicherheitsvorfälle an das BSI melden, selbst wenn diese nur zu einer Beeinträchtigung der Kritis führen könnten. Diese Meldepflicht führt zu einem erheblichen Mehraufwand für Wirtschaft und Staat, ohne einen messbaren Mehrwert. Die Unternehmen werden nahezu jeden Vorfall an das BSI melden, um nicht gegen das IT-Sicherheitsgesetz zu verstoßen.

>> Die Zusammenarbeit zwischen BSI und Kritis-Unternehmen soll verbessert werden. Jedoch bleiben Rolle und Qualitätskriterien des BSI unbestimmt. Es kann zwar betroffene Unternehmen beraten, wird aber in keinerlei Weise zu konkreter Hilfe verpflichtet. Auf der anderen Seite sollen die Unternehmen erheblichen Meldepflichten nachkommen.

>> Schließlich soll das BSI sowie weitere Behörden mit zusätzlichen Mitteln ausgestattet werden. Dem BSI sollen nun vom Gesamthaushalt des BMI (5, 9 Milliarden Euro) anstatt 88 Millionen Euro ca. 100 Millionen Euro zugewiesen werden. Dass das BSI hierdurch zu einer schlagkräftigen Behörde gegen Cyber-Kriminalität wird, ist nicht glaubwürdig.
(Cyber-Sicherheitsrat Deutschland: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Berichtspflichten dürfen kein Selbstzweck sein

    Die Europäische Kommission hat ihre Omnibus-Initiative zur Vereinfachung der ESG-Regulierung vorgestellt. Die Deutsche Kreditwirtschaft (DK) hat bereits im Vorfeld Vorschläge gemacht, wie das Regelwerk effizienter und steuerungsrelevanter werden kann.

  • Vereinfachung von Nachhaltigkeitsvorschriften

    Die EU-Kommission legte ihr erstes sogenanntes Omnibus-Paket zur Vereinfachung von Nachhaltigkeitsvorschriften vor, um Regulierungen und Bürokratie abzubauen. Zugleich sollen mit dem Clean Industrial Deal (CID) wichtige industriepolitische Weichen gestellt werden.

  • FIDA-Einführung belastet Finanzsektor erheblich

    Die Deutsche Kreditwirtschaft (DK) fordert eine umfassende und sorgfältige Überprüfung des Vorschlags der Europäischen Kommission zur Financial Data Access Regulation (FiDA). Die Debatte um das neue Arbeitsprogramm der Europäischen Kommission bis hin zu einer Rücknahme des FiDA-Vorschlags verdeutlicht den erheblichen Klärungsbedarf in zentralen Fragen.

  • EU-Regulierung von Online-Marktplätzen

    Zur Mitteilung der EU-Kommission zu den aktuellen Herausforderungen im Bereich von E-Commerce-Plattformen erklärt Dr. Bernhard Rohleder, Bitkom-Hauptgeschäftsführer: "Die EU-Kommission schlägt mit ihrer Mitteilung den richtigen Weg ein. Wer online einkauft, muss sich auf die Sicherheit der angebotenen Produkte verlassen können. Dafür braucht es allerdings keine weiteren Regeln, sondern stärkere Importkontrollen und die Aufhebung der Zollfreigrenze von 150 Euro. Denn wenn außereuropäische Händler unter Ausnutzung dieser Grenze illegale Produkte einführen, gefährdet das nicht nur die Verbraucherinnen und Verbraucher, sondern auch europäische Anbieter."

  • Künstliche Intelligenz: Was für Unternehmen gilt

    Seit Sonntag, 2. Februar 2025 sind weitere Regelungen der europäischen KI-Verordnung (AI Act) in Kraft. Dabei handelt es sich zum einen um Verbote von bestimmten KI-Praktiken wie Social-Scoring-Systemen, manipulative KI-Techniken oder Emotionserkennung am Arbeitsplatz. Zum anderen greifen Vorgaben für KI-Kompetenzanforderungen von Beschäftigten.

Ethik und Compliance Auch Prüfung anderer Abkommensteile notwendig

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen