Der Verband Bitkom hat Nachbesserungen am geplanten IT-Sicherheitsgesetz ("Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme") der Bundesregierung gefordert. „Die ITK-Branche unterstützt das Ziel, Deutschland besser vor Cyberangriffen zu schützen“, sagte Bitkom-Präsident Dieter Kempf zum Ende der Anhörungsfrist für Verbände am 5. April.
Insbesondere die darin vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen sieht der Verband nicht gerne. Er befürchtet für die Mitgliedsfirmen mehr Bürokratie und dadurch höhere Kosten und Mehrarbeit, demgegenüber zu wenig Nutzen steht.
Das geplante IT-Sicherheitsgesetz enthält drei Schwerpunkte zur Verbesserung der IT-Sicherheit:
-
Die Betreiber kritischer Infrastrukturen werden zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat bei IT-Vorfällen verpflichtet.
-
Telemediendiensteanbieter werden hierfür stärker als bisher in die Verantwortung genommen.
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll gestärkt werden.
Laut einer Bitkom-Umfrage verzeichneten 40 Prozent der Unternehmen in Deutschland bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle. Viele Unternehmen sind auf solche Situationen schlecht vorbereitet. Die Hälfte der Befragten gab an, dass sie keinen Notfallplan für IT-Sicherheitsvorfälle hat. Und ein Drittel der Unternehmen gestehen ein, dass sie Nachholbedarf beim Thema IT-Sicherheit haben.
Es sei notwendig, ein einheitlich hohes Sicherheitsniveau bei den unterschiedlichen Betreibern kritischer Infrastrukturen herzustellen, so Kempf. Allerdings müsse für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen klar gestellt werden, welche Unternehmen betroffen sind und welche Ereignisse meldepflichtig sind.
„Eine überzogene Ausweitung von Meldepflichten lehnen wir ab, weil sie hohen bürokratischen Aufwand und eine Flut kaum relevanter Meldungen verursacht“, sagte Kempf. Das widerspräche dem Ziel, ein möglichst gutes Bild über die Sicherheitslage im Internet zu bekommen. So werden die großen Betreiber von Internetdiensten täglich tausendfach angegriffen. Kempf: „Selbst erfolgreiche Angriffe führen nicht zu größeren Schäden, wenn sie frühzeitig erkannt werden oder sich der Schädling als harmlos erweist.“ Es sollte im Gesetzestext klargestellt werden, was mit „erheblichen IT-Sicherheitsvorfällen“ gemeint ist, so Kempf.
Bitkom kritisiert "übertriebene Ausweitung der Meldepflichten"
Völlig unklar bleibe, so Bitkom, im Gesetzestext, welche Unternehmen in Zukunft als Betreiber „kritischer Infrastrukturen“ eingestuft werden und deshalb IT-Sicherheitsvorfälle und Hacker-Angriffe melden müssten. Das solle erst später im Rahmen einer Verordnung konkretisiert werden.
„Dieses Vorgehen ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor“, sagte Kempf. Das Gesetz sollte sich bei der Festlegung an der Definition des Bundesinnenministeriums orientieren, fordert der Verband. Danach sind kritische Infrastrukturen Organisationen und Einrichtungen, deren Ausfall „nachhaltig wirkende Versorgungsengpässe“ oder „erhebliche Störungen der öffentlichen Sicherheit“ zur Folge haben. Diese Gefahr bestehe aber nur bei einer begrenzten Anzahl von Unternehmen.
Laut Bitkom sollen den Plänen der EU-Kommission zufolge zu den meldepflichtigen kritischen Infrastrukturen neben Telekommunikationsnetzen folgende Bereiche gehören: Banken und Börsen, Energieversorger, Transport und Logistik, Gesundheitswesen, öffentliche Verwaltungen sowie „zentrale Internetunternehmen“. Eine solche Ausweitung der Meldepflichten auf andere Unternehmen hält der Verband für „unverhältnismäßig“.
Außerdem dürfe es nicht zu einer Doppelregulierug kommen. Die Anbieter von Telekommunikationsdiensten seien bereits nach dem Telekommunikationsgesetz (§109 TKG) verpflichtet, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. Sind personenbezogene Daten betroffen, müssten auch die betroffenen Nutzer und damit die Öffentlichkeit informiert werden.
„Eine weitere gesetzliche Regelung für die Anbieter von Telekommunikationsdiensten ist nicht notwendig“, sagte Kempf. Zumal die Unternehmen bereits jetzt verpflichtet sind, umfangreiche technische Vorkehrungen für den Schutz ihrer Übertragungsnetze und Datenverarbeitungssysteme zu treffen. Hier herrscht Unklarheit, inwieweit diese bereits vorhandenen Vorgaben berücksichtigt werden.
Bitkom hat bereits ein Meldesystem für Hackerangriffe etabliert
Der Verband setzt sich für die freiwillige Meldung von IT-Sicherheitsvorfällen ein. Ein entsprechendes Meldesystem habe die ITK-Branche in Zusammenarbeit mit dem BSI unter der Adresse allianz-fuer-cybersicherheit.de bereits etabliert. „Deutschland ist mit der Einführung eines Meldesystems für IT-Sicherheitsvorfälle international Vorreiter“, sagte Kempf. Das System müsse aber noch bekannter gemacht werden, damit vor allem kleine und mittelständische Unternehmen sensibilisiert werden, räumte er ein.
Innenminister Hans-Peter Friedrich hingegen findet, dass Kooperation auf freiwilliger Basis nicht zu ausreichenden Sicherheitsstandards führt. Er sagte bei der Vorstellung des Entwurfs beim Jahreskongress des Verbands der deutschen Internetwirtschaft Eco: „Ich weiß, dass es in der Wirtschaft Stimmen gibt, denen eine Kooperation auf freiwilliger Basis lieber wäre. Die Erfahrung zeigt aber, dass wir in der Vergangenheit allein mit freiwilligen Maßnahmen hinter unseren Zielen zurückgeblieben sind. Wir brauchen einen gesetzlichen Rahmen für mehr Kooperation und die Einhaltung von IT-Sicherheitsstandards“, so Friedrich.
Das Maß der Selbstregulierung solle hierbei jedoch so hoch wie möglich sein, sagte Friedrich weiter. Deswegen sehe der Gesetzentwurf auch vor, dass die geforderten Mindeststandards für die IT-Sicherheit der kritischen Infrastrukturen maßgeblich von den Verbänden und Betreibern selbst als entwickelt und anschließend zur staatlichen Anerkennung vorgelegt werden.
Die geforderten Meldepflichten bei erheblichen Sicherheitsvorfällen sollen dazu dienen, ein Lagebild zu erstellen, dass wiederum anderen Gefährdeten oder Betroffenen zur Verfügung gestellt werden soll, um diese so früh wie möglich vor drohenden Angriffen warnen zu können. "Es geht um eine gegenseitige Information auf der Basis beiderseitigen Vertrauens", sagte Friedrich.
Unklar, wann das Gesetz verabschiedet wird
Die Stellungnahme des Bitkom zum Entwurf des IT-Sicherheitsgesetzes des Bundesinnenministeriums steht hier. Der Entwurf für ein IT-Sicherheitsgesetz befindet sich zurzeit in der Ressortabstimmung. Unklar ist, ob das Gesetz noch in dieser Legislaturperiode verabschiedet werden kann. Die nächsten Bundestagswahlen sind am 22. September 2013.