Studie von KPMG
IT-Sicherheitsgesetz kostet Milliarde
Der IT-Branchenverband Bitkom warnt vor den Kosten, die durch das geplante IT-Sicherheitsgesetz auf die Unternehmen zukommen könnten. Laut einer aktuellen Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, Bitkom und weiteren Branchenverbänden würden allein aus der beabsichtigten Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr entstehen.
Nach den Bitkom-KPMG-Prognosen könnten für die Firmen dazu noch Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe hinzukommen. "Das IT-Sicherheitsgesetz hat herausragende Bedeutung für den Schutz kritischer Infrastrukturen", sagte Bitkom-Präsident Dieter Kempf. Aber: "Dabei muss das Sicherheitsinteresse mit dem praktisch Machbaren und dem wirtschaftlich Vertretbaren in Einklang gebracht werden."
Ziel des IT-Sicherheitsgesetzes
Ziel des IT-Sicherheitsgesetzes ist es, den Behörden anhand von Hinweisen der Unternehmen ein besseres Bild über die aktuelle Sicherheitslage im Internet zu verschaffen. Zudem sollen für die Versorgungssicherheit besonders wichtige Branchen dazu verpflichtet werden, bestimmte Sicherheitsstandards für ihre IT-Systeme einzuhalten.
Der Bitkom erwartet dazu in Kürze die Vorlage eines neuen Gesetzentwurfes durch das Bundesinnenministerium. Ein erster Entwurf aus dem Vorjahr war nicht verabschiedet worden.
Aus Sicht von Bitkom liegt die Herausforderung in der konkreten Ausformulierung des Gesetzes. So sollte nach Meinung des Verbandes darin festgelegt werden, welche Unternehmen welcher Branchen als Betreiber kritischer Infrastrukturen gelten.
Bei der Meldepflicht sollte nach Meinung des Bitkom präzisiert werden, welche Sicherheitsvorfälle als schwerwiegend eingestuft werden können.
Anonymität des meldenden Unternehmens ermöglichen
Auf Grundlage des vorliegenden Gesetzentwurfs geht die KPMG-Studie im Auftrag von Bitkom von rund 2,3 Millionen Meldungen pro Jahr aus. "Entscheidend ist ein Meldeverfahren für IT-Sicherheitsvorfälle, das die Anonymität des Meldenden ermöglicht. Nur so können Reputationsverluste der Unternehmen vermieden werden, sollten gemeldete Cyberattacken öffentlich werden", sagte Kempf.
Als Lösungsvorschlag wurde im Rahmen der Studie ein Verfahren entwickelt, das pseudonymisierte Meldungen an einen Treuhänder vorsieht. Kempf: "Das Treuhändermodell ermöglicht weitgehende Anonymität. Gleichzeitig besteht die Möglichkeit für die Behörden, Kontakt zu dem Unternehmen aufzunehmen."
Zudem sollte das Meldeverfahren nach Ansicht der Verbandsvertreter nicht nur in einer Richtung funktionieren. "Die Behörden müssen ihre Erkenntnisse zur Sicherheitslage an die Wirtschaft weitergeben. Nur so können die Unternehmen darauf mit zusätzlichen Maßnahmen reagieren", sagte Kempf.
Firmen profitieren von den Meldungen anderer Unternehmen
Außerdem werde die Bereitschaft der Unternehmen zur Lieferung aktueller und ausführlicher Informationen steigen, wenn sie davon im Sinne praktischer Sicherheitshinweise profitieren. Außerdem sollten die Behörden möglichst transparent bezüglich der Speicherung, Verarbeitung und Weitergabe der Meldungen handeln.
Die geforderten IT-Sicherheitsstandards müssen branchenspezifisch entwickelt werden, was bereits im vorliegenden Gesetzentwurf vorgesehen ist. In diesem Zusammenhang verwies der Bitkom auch auf die Verantwortung des Staates selbst. Kempf: "Der Staat ist der größte Betreiber kritischer Infrastrukturen. Die entsprechenden Meldepflichten und Sicherheitsstandards sollten daher auch für staatliche Stellen gelten."
Kostenloser Download der KPMG-Studie
Die Studie von KPMG "IT-Sicherheit in Deutschland - Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes" steht als kostenloser Download auf der Bitkom-Seite bereit.