IT-Sicherheitsgesetz noch nicht auf dem „Stand der Technik“

IT-Sicherheitsgesetz nicht auf dem „Stand der Technik“

Noch ist das geplante IT-Sicherheitsgesetz ein Entwurf. Und in dieser Fassung ist es derzeit einiger Kritik ausgesetzt. Zwar bezeichneten Experten bei einer aktuellen Anhörung im Innenausschuss des Bundestags den Entwurf als nötigen ersten Schritt. Gleichzeitig attestieren sie dem Gesetz an vielen Stellen Änderungsbedarf. KPMG-Experte Wilhelm Dolle erklärt, was künftig auf deutsche Unternehmen zukommt.

Ansprechpartner

Partner, Security Consulting

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

IT-Sicherheit

Ziel des Gesetzes ist die signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland. Dazu sollen Betreiber kritischer Infrastrukturen (KRITIS) – also Anbieter von gesellschaftlich wichtigen Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden.

Teuer erkaufte Sicherheit: Aufwand und Nutzen des Gesetzes

Der Nutzen von sinnvollen Sicherheitsstandards und deren Einhaltung liegt auf der Hand. Kritiker befürchten dennoch, dass mit dem Gesetz ein für die Unternehmen teures Bürokratiemonster entstünde. „Zum jetzigen Zeitpunkt kann der Aufwand für die Umsetzung mit Blick auf die drei Hauptforderungen des Gesetzes, Meldepflicht, allgemeine und branchenspezifische Mindestsicherheitsstandards und ein regelmäßiger Nachweis noch nicht genau beziffert werden“, erklärt Wilhelm Dolle, Partner im Bereich Security Consulting bei KPMG. Schon heute steht aber fest: Die Unternehmen werden verstärkt in ihre IT-Sicherheit investieren müssen.

Kostenfalle Meldepflicht

In einer Studie im Auftrag des Bundesverbands der Deutschen Industrie (BDI) hat KPMG bereits 2014 die Kosten für die Einführung der Meldepflicht auf über eine Milliarde Euro geschätzt. Für den Gesetzgeber ist das eine lohnende Investition – so ließe sich mit den Meldungen ein umfassendes Bild der Gefährdungslage erstellen. Der deutschen Wirtschaft hilft die Pflicht jedoch nur, wenn das BSI die Meldungen nicht nur entgegennimmt, sondern auch auswertet und den Betreibern von Kritischen Infrastrukturen zeitnah Informationen und Unterstützung zur Verfügung stellt.

Doch dazu ist das BSI aktuell weder fachlich noch personell in der Lage. Nicht ohne Grund findet sich in der Begründung des Gesetzes folgender Passus:

„Beim BSI entsteht für die Erfüllung der im Gesetz vorgesehenen Aufgaben − in Abhängigkeit von der Zahl der Betreiber Kritischer Infrastrukturen und der Anzahl der eingehenden Meldungen − ein Aufwand von insgesamt zwischen 115 bis zu maximal 216,5 Planstellen/Stellen mit Personalkosten in Höhe von jährlich zwischen rund 8,95 und bis zu maximal 15,867 Millionen Euro sowie Sachkosten in Höhe von einmalig rund 5 bis 7 Millionen Euro.“

Sanktionen gegen Nicht-Melder

Was passiert, wenn ein Unternehmen der vorgeschriebenen Meldepflicht nicht nachkommt oder seine Sicherheitsmaßnahmen nicht auf dem „Stand der Technik“ hält? Fakt ist: Die derzeitige Fassung sieht keine Sanktionsmöglichkeiten vor. Das könnte zum Problem werden, denn es schränkt die Wirksamkeit des Gesetzes deutlich ein. Ändert sich an dieser Stelle nichts, gibt es für die Unternehmen kaum Anreize, Sanktionen zu vermeiden und intensiv in ihre IT-Sicherheit zu investieren. „Man kann mit Bestimmtheit davon ausgehen, dass nicht alle Betreiber kooperativ sind“, so Dolle. „Möchte man hier Druck ausüben, benötigt das BSI in diesen Fällen Durchsetzungs- und Anordnungsbefugnisse. Ein weiterer Aspekt ist, dass es teilweise zu einer Ungleichbehandlung kommt, da Bußgelder beispielsweise über das Telekommunikationsgesetz (TKG) für die Telekommunikationsbranche vorgesehen sind. Hier sollte der Gesetzgeber nachbessern und für eine Gleichbehandlung sorgen.“

Das BSI und der Wunsch nach Unabhängigkeit

Einige Kritiker bezweifeln derzeit noch, ob das BSI als zentrale Meldestelle für Cyberangriffe überhaupt geeignet sei. Wichtigster Ansatzpunkt sind mögliche Interessenkonflikte mit dem Bundesinnenministerium.

Dazu KPMG-Experte Wilhelm Dolle: „Das BSI ist meiner Einschätzung nach definitiv eine geeignete Stelle. Eventuell könnte darüber nachgedacht werden, das BSI unabhängiger vom Innenministerium zu machen. Der aktuelle Gesetzentwurf erlaubt allerdings noch kein ausreichendes Verständnis des konkreten Zusammenspiels von Unternehmen und BSI. Dies wäre aber eine wesentliche Grundlage für eine höhere Bereitschaft der Unternehmen zur Kooperation. Für die Unternehmen ist es natürlich wichtig, genau zu wissen, welche spezifischen Informationen sie im Falle eines IT-Sicherheitsvorfalls wann und wie verlässlich vom BSI erhalten. Zusätzlich sollte geregelt sein, dass gemeldete sensible Unternehmensinformationen nicht in falsche Hände geraten. Das Gesetz sollte den Umgang mit den Daten aus den Meldungen von Sicherheitsvorfällen deshalb transparent, nachvollziehbar und zweckgebunden regeln.“

Redaktion: René Stüwe

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform