Voice e.V. nimmt Stellung

Das IT-Sicherheitsgesetz im Urteil der CIOs

14.10.2015
Von Redaktion CIO
Während eines kürzlich vom CIO-Magazin veranstalteten CIO-Roundtables in München wurde das neue IT-Sicherheitsgesetz diskutiert. Die CIOs, unter denen auch zahlreiche Mitglieder des IT-Anwenderverbands Voice, begrüßten zwar die Aufmerksamkeit, die das Gesetz für das Thema Cyber-Security erzeugt. Doch sie erwarten zügige Präzisierungen durch die noch fehlenden Rechtsverordnungen.
  • Der Datenverkehr muss transparenter geregelt werden, um den Missbrauch von Datenverbindungen zu erschweren
  • Es fehlen Regelungen, um die Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking und Spionage zu verbessern
  • Software- und Service-Anbieter sollten stärker in gesetzliche Regelungen zur Cyber-Security eingebunden werden; zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwenderunternehmen
  • Voice fördert die Vernetzung der Anwenderunternehmen in Sachen Security und Cyber-Risk

Die rund 20 anwesenden CIOs und Top-IT-Entscheider bewerten das im Juli in Kraft getretene Gesetz zurückhaltend positiv. Zum einen lenke es endlich verstärkt Aufmerksamkeit auf den Bereich Cyber-Crime und trage so zu einem strikteren Vorgehen gegen Cyber-Kriminalität bei. Zum anderen wiesen die CIOs auf noch zu konkretisierende Rechtsverordnungen in dem Gesetz hin, in denen unter anderem genau festgelegt wird, in welchem Rahmen und mit welchen Auswirkungen Unternehmen und Organisationen der sogenannten kritischen Infrastruktur (Kritis) angehören, die Sicherheitsvorfälle an das Bundesamt für Informationssicherheit melden müssen.

Über die spezifischen Inhalte des Roundtables wurde aufgrund des sehr sensiblen Themas Vertraulichkeit vereinbart. Doch VoiceVoice, der Bundesverband der IT-Anwender e.V. nimmt zum IT-Sicherheitsgesetz Stellung. Alles zu Voice auf CIO.de

IT-Sicherheitsgesetz ist dringend notwendig

Voice begrüßt das IT-Sicherheitsgesetz als einen ersten, dringend notwendigen Schritt. Es schafft die Grundlage für Standort- und Rechtssicherheit. Allerdings sollten möglichst zügig die entsprechenden Rechtsverordnungen formuliert und in Kraft gesetzt werden, damit das Gesetz nicht Hülle bleibt, sondern tatsächlich mehr Sicherheit schafft.

Das IT-Sicherheitsgesetz konzentriert sich in seiner heute vorliegenden Form praktisch ausschließlich auf die Verpflichtung der Unternehmen im Bereich kritischer Infrastrukturen (Kritis), bestimmte Sicherheitsstandards für ihre IT-Systeme zu gewährleisten und bei gravierenden Sicherheitsvorfällen diese den Behörden zu melden. Voice unterstützt dieses Vorgehen als einen ersten, dringend notwendigen Schritt.

Opferschutz und Vertraulichkeit

Eine dringende Präzisierung des Gesetzes bzw. der zugehörigen Rechtsverordnung betrifft jedoch die Details zum Opferschutz bzw. zur Gewährleistung der Vertraulichkeit von Ereignismeldungen. Dies ist eine zwingende Voraussetzung für das Entstehen einer ausreichenden Vertrauensbasis zwischen Unternehmen und Behörden und somit für die Akzeptanz und Wirksamkeit des Gesetzes.

Damit ein solches Vertrauen wachsen kann, muss genau geregelt werden, was die Behörden mit den Meldedaten im Einzelnen tun dürfen und wie sie sie schützen, so dass die durch Online-Kriminelle ohnehin schon geschädigten Unternehmen nicht noch Reputationsschäden erleiden. Als Vorbild sollten hier die geltenden Regelungen aus dem Strafrecht herangezogen werden.

Keine Regelungen für Internetdienstleister

Der vorliegende Gesetzentwurf beschränkt sich auf den Selbstschutz der Kritis-Unternehmen im Cyber-Raum, enthält jedoch keinerlei Regelungen zum Verhalten von Internetdienstleistern und zur Kommunikation im Internet. Das im Gesetz geforderte, hohe Schutzniveau ist für die Unternehmen nur dann zu vertretbaren Kosten darstellbar, wenn darüber hinaus allgemeine Regelungen zum Datenverkehr verabschiedet werden.

Missbrauch von Datenverbindungen

Voice fordert Regelungen zur Transparenz des Datenverkehrs. Um den Missbrauch von Datenverbindungen zu erschweren, muss die Verwendungen von Datenprotokollen und Verbindungsarten stärker reglementiert werden. So gibt es bislang keinerlei gesetzliche Einschränkungen zur Nutzung von Datenports, obwohl die derzeitigen Firewallkonzepte hierauf aufbauen.

Zur Startseite