Ein Kommentar
Was das IT-Sicherheitsgesetz für Unternehmen bedeutet
Dr. Gerald Spiegel ist Leiter Information Security Solutions bei Sopra Steria Consulting und befasst sich im Schwerpunkt mit den Themen IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).
Der jüngst veröffentlichte zweite Entwurf des IT-Sicherheitsgesetzes sieht Meldepflichten vor, die zwei Ziele verfolgen:
Erstens könnten durch die Sammlung von aktuellen Angriffsmustern noch nicht betroffene Unternehmen gewarnt werden.
Zweitens hat eine Meldung durch die Veröffentlichung des Schadens einen abschreckenden Effekt, was die Motivation der Unternehmen zur Prävention fördert.
Allerdings hebeln anonyme Meldungen diesen Effekt wieder aus. Denn mit einer anonymen Meldung fällt für ein Unternehmen der Druck weg, sicherheitserhöhende Maßnahmen vorzunehmen. Wären alle Meldungen verpflichtend mit Namensnennung, hätten Unternehmen mehr Angst vor Reputationsschäden und würden dem mit einer erhöhten IT-Sicherheit versuchen zuvorzukommen.
Weil aber auch anonyme Meldungen möglich sind, sinkt die Gefahr von Reputationsschäden und somit die Bereitschaft zur Gefahrenverhütung. Somit könnte sich das Gesetz selbst im Weg stehen, weil es im schlimmsten Fall zu weniger Sicherheit führt.
Kritische Infrastrukturen - höhere Kosten für Unternehmen
Der Gesetzentwurf zielt in erster Linie auf die Betreiber kritischer Infrastrukturen ab. Das sind unter anderem Energie- und Wasserversorger, Netzbetreiber sowie der Finanzsektor. Laut Entwurf entstehen durch das Gesetz nur denjenigen Unternehmen Mehrkosten, die bisher über kein ausreichendes Maß an IT-Sicherheit verfügen und keine entsprechenden Mittel zum Nachweis des Sicherheitsniveaus etabliert haben.
Da diese Meldewege jedoch bisher nur für öffentliche Stellen verpflichtend waren, entstehen somit bei allen betroffenen privaten Unternehmen zusätzliche Kosten. Hinzu kommen für alle betroffenen Organisationen Ausgaben für die Durchführung von Sicherheits-Audits aller zwei Jahre.
Anonyme Meldepflichten
Das Gesetz beinhaltet zweierlei Meldepflichten von Cyber-Angriffen. Das namentliche Melden von schwerwiegenden Schäden und das anonyme Melden, wenn die Angriffe sich noch nicht unternehmenskritisch ausgewirkt haben. Im Entwurf heißt es: "Auf die Nennung des Betreibers wird daher dort verzichtet, wo die Meldung primär der Beratung und Warnung möglicher ebenfalls betroffener Kreise und der Erfassung der Cyber-Bedrohungslage dient."
Unklare Sicherheitsstandards
Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird diesen Standards zustimmen müssen. Wie sie genau aussehen ist allerdings noch unklar. Voraussichtlich werden sie sich aber in der Nähe vom BSI Grundschutz und ISO27001/2 bewegen.
Sicherheit nachweisen
Der Gesetzentwurf will die Betreiber von Infrastrukturen in den betroffenen Sektoren dazu verpflichten, ihre Sicherheitsvorkehrungen stets auf dem neuesten Stand zu halten. Die Unternehmen sollen dafür alle zwei Jahre von zertifizierten Experten eine Sicherheitsüberprüfung vornehmen lassen und dies dem BSI nachweisen.
Aktuell kein akuter Handlungsbedarf
Momentan besteht kein akuter Handlungsbedarf für die Unternehmen, da die Mindeststandards bislang nicht klar sind, die betroffenen Unternehmen noch nicht eindeutig benannt sind und der Vorgang des Nachweises noch zu unspezifisch ist. Es ist jedoch abzusehen, dass das Gesetz die Nachfrage nach IT-Sicherheit vergrößern wird.
Gerald Spiegel ist Experte für Informationssicherheit bei Steria Mummert Consulting.