IT-Sicherheitsgesetz

Halbherzige Meldepflicht, "höchste" Sicherheitsstandards

Meldepflicht von IT-Angriffen und höchstmögliche Sicherheitsstandards in Schlüsselbranchen - das neue IT-Sicherheitsgesetz soll bald beschlossen werden.

Hohe Ansprüche: "Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden", schreibt Bundesinnenminister Thomas de Maizière (CDU) in einem Beitrag für die Frankfurter Allgemeine Zeitung (FAZ).

Um dieses Ziel zu erreichen, will  de Maizière ein neues IT-Sicherheitsgesetz in den Bundestag einbringen. Es wird zur Zeit zwischen den Ressorts abgestimmt und soll nach DPA-Informationen eine Meldepflicht für Angriffe auf IT-Systeme umfassen.

Anonyme Meldungen

Doch es gibt Einschränkungen: Betroffen sind nur Unternehmen aus den Schlüsselbranchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus der Finanz- und Versicherungsbranche.

Darüber hinaus bleiben die Meldungen anonym, sofern es nicht zu Störungen oder Ausfällen kommt. Außerdem soll das Gesetz Unternehmen aus diesen Branchen verpflichten, bestimmte IT-Sicherheitsstandards einzuhalten.

Diese Regeln bleiben weit hinter den Forderungen von IT-Experten zurück, die eine generelle Meldepflicht aller Arten von IT-Angriffen und Störungen fordern - alleine schon, um ein realistisches Bild der Bedrohungslage zu bekommen.

Bereits jetzt liefern Netzbetreiber wie die Telekom oder Content-Delivery-Experten wie Akamai verschiedenen Statistiken über Art und Anzahl der Bedrohungen. Dabei handelt es sich aber um aggregierte Daten, zum Beispiel über die regionalen Aktivitäten von Botnets.

Eine allgemeine Meldepflicht würde einen viel besseren Einblick die Vorgehensweise von Cyberkriminellen bringen - was aber nicht unbedingt im Interesse der Unternehmen ist. So wird Erpressung ("Zahl. Oder wir crashen Deinen Webshop") gerne in aller Stille mit Geld abgewehrt. Bei anonymen Meldungen würden solche Angriffe womöglich in der Masse verschwinden.

Agile Gesetzgebung

Die Meldepflicht ist also eher halbherzig umgesetzt. Die Verpflichtung der Unternehmen zu hohen Sicherheitsstandards dagegen klingt im ersten Moment nach dem "harten" Gesetzgeber, den wir uns manchmal wünschen. Doch die Regelung ist wohl eher eine Nebelkerze: Versicherungen und Banken , aber auch Energieversorger sowie ITK-Unternehmen nutzen ohnehin die höchsten Sicherheitsstandards, alles andere wäre nicht in ihrem eigenen Interesse.

Kaum vorstellbar, wie hoch das Innenministerium die Latte hier hängen will. In der Praxis dürften wohl nur kleine Unternehmen Probleme haben, die Anforderungen zu erfüllen. Fraglich ist auch, welche Standards der Gesetzgeber vorgeben will und ob dann auch "agile Gesetzgebung" eingeführt wird - IT-Standards haben eine geringe Halbwertszeit.

Bildquelle: Ematil1023 / freeimages.com

Link: Thomas de Maizière  in der FAZ über IT-Sicherheit

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok