Geplantes IT-Sicherheitsgesetz hat Lücken | KPMG | DE
IT-Sicherheitsgesetz

IT-Sicherheitsgesetz

Geplantes IT-Sicherheitsgesetz hat Lücken

Keyfacts über IT-Sicherheit

IT-Sicherheit

Gesetzgeber strebt ein Mindestniveau an IT-Sicherheit an • Kritiker sehen in dem Gesetz ein teures "Bürokratiemonster" • Einführung der Meldepflicht kostet Unternehmen eine Milliarde Euro

Geplantes IT-Sicherheitsgesetz ist teuer und hat Lücken

Noch ist das geplante IT-Sicherheitsgesetz ein Entwurf. Und in dieser Fassung ist es derzeit einiger Kritik ausgesetzt. Zwar bezeichneten Experten bei einer aktuellen Anhörung im Innenausschuss des Bundestags den Entwurf als nötigen ersten Schritt. Gleichzeitig attestieren sie dem Gesetz an vielen Stellen Änderungsbedarf. KPMG-Experte Wilhelm Dolle erklärt, was künftig auf deutsche Unternehmen zukommt.

Ziel des Gesetzes ist die signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland. Dazu sollen Betreiber kritischer Infrastrukturen (KRITIS) – also Anbieter von gesellschaftlich wichtigen Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden.

Teuer erkaufte Sicherheit: Aufwand und Nutzen des Gesetzes

Der Nutzen von sinnvollen Sicherheitsstandards und deren Einhaltung liegt auf der Hand. Kritiker befürchten dennoch, dass mit dem Gesetz ein für die Unternehmen teures Bürokratiemonster entstünde. „Zum jetzigen Zeitpunkt kann der Aufwand für die Umsetzung mit Blick auf die drei Hauptforderungen des Gesetzes, Meldepflicht, allgemeine und branchenspezifische Mindestsicherheitsstandards und ein regelmäßiger Nachweis noch nicht genau beziffert werden“, erklärt Wilhelm Dolle, Partner im Bereich Security Consulting bei KPMG. Schon heute steht aber fest: Die Unternehmen werden verstärkt in ihre IT-Sicherheit investieren müssen.

Kostenfalle Meldepflicht

In einer Studie im Auftrag des Bundesverbands der Deutschen Industrie (BDI) hat KPMG bereits 2014 die Kosten für die Einführung der Meldepflicht auf über eine Milliarde Euro geschätzt. Für den Gesetzgeber ist das eine lohnende Investition – so ließe sich mit den Meldungen ein umfassendes Bild der Gefährdungslage erstellen. Der deutschen Wirtschaft hilft die Pflicht jedoch nur, wenn das BSI die Meldungen nicht nur entgegennimmt, sondern auch auswertet und den Betreibern von Kritischen Infrastrukturen zeitnah Informationen und Unterstützung zur Verfügung stellt. Doch dazu ist das BSI aktuell weder fachlich noch personell in der Lage.

1 Mrd.€ würde die Einführung der Meldepflicht kosten.

Sanktionen gegen Nicht-Melder

Was passiert, wenn ein Unternehmen der vorgeschriebenen Meldepflicht nicht nachkommt oder seine Sicherheitsmaßnahmen nicht auf dem „Stand der Technik“ hält? Fakt ist: Die derzeitige Fassung sieht keine Sanktionsmöglichkeiten vor. Das könnte zum Problem werden, denn es schränkt die Wirksamkeit des Gesetzes deutlich ein. Ändert sich an dieser Stelle nichts, gibt es für die Unternehmen kaum Anreize, Sanktionen zu vermeiden und intensiv in ihre IT-Sicherheit zu investieren. „Man kann mit Bestimmtheit davon ausgehen, dass nicht alle Betreiber kooperativ sind“, so Dolle. „Möchte man hier Druck ausüben, benötigt das BSI in diesen Fällen Durchsetzungs- und Anordnungsbefugnisse. Ein weiterer Aspekt ist, dass es teilweise zu einer Ungleichbehandlung kommt, da Bußgelder beispielsweise über das Telekommunikationsgesetz (TKG) für die Telekommunikationsbranche vorgesehen sind. Hier sollte der Gesetzgeber nachbessern und für eine Gleichbehandlung sorgen.“

Das BSI und der Wunsch nach Unabhängigkeit

Einige Kritiker bezweifeln derzeit noch, ob das BSI als zentrale Meldestelle für Cyberangriffe überhaupt geeignet sei. Wichtigster Ansatzpunkt sind mögliche Interessenkonflikte mit dem Bundesinnenministerium.

Dazu KPMG-Experte Wilhelm Dolle: „Das BSI ist meiner Einschätzung nach definitiv eine geeignete Stelle. Eventuell könnte darüber nachgedacht werden, das BSI unabhängiger vom Innenministerium zu machen. Der aktuelle Gesetzentwurf erlaubt allerdings noch kein ausreichendes Verständnis des konkreten Zusammenspiels von Unternehmen und BSI. Dies wäre aber eine wesentliche Grundlage für eine höhere Bereitschaft der Unternehmen zur Kooperation. Für die Unternehmen ist es natürlich wichtig, genau zu wissen, welche spezifischen Informationen sie im Falle eines IT-Sicherheitsvorfalls wann und wie verlässlich vom BSI erhalten. Zusätzlich sollte geregelt sein, dass gemeldete sensible Unternehmensinformationen nicht in falsche Hände geraten. Das Gesetz sollte den Umgang mit den Daten aus den Meldungen von Sicherheitsvorfällen deshalb transparent, nachvollziehbar und zweckgebunden regeln.“