Cyber-Schutz steht auf dem Prüfstand

Cyberkriminelle hacken sich in öffentliche Netze ein, legen die Strom- und Wasserversorgung lahm oder programmieren Verkehrssysteme um: Die Angst vor solchen Szenarien ist allgegenwärtig. Für besseren Schutz soll nun ein neues Gesetz sorgen.

Die Attacke auf die französische Sendergruppe TV5 Monde hat einmal mehr vor Augen geführt, wie verletzlich die digitale Welt sein kann – mit Auswirkungen für Millionen von Menschen. Als Antwort auf die Bedrohungen will der Bundestag möglichst noch vor der Sommerpause das schon seit der vorigen Wahlperiode geplante IT-Sicherheitsgesetz verabschieden. Einen Entwurf dazu hatte das Kabinett im Dezember auf den Weg gebracht. Nun gehen die Beratungen in die heiße Phase. Für diese Woche hat der Innenausschuss Sachverständige, Verbände und Unternehmen zur Anhörung geladen.

Während an Sinn und Notwendigkeit des Gesetzes kaum Zweifel bestehen, steckt der Teufel im Detail. Vor allem die Wirtschaft sieht noch Änderungsbedarf. Nach Ansicht der Opposition gehen die geplanten Regelungen völlig am Ziel vorbei. Im Kern geht es im Gesetz um sogenannte kritische Infrastrukturen, bei denen ein Ausfall oder eine Beeinträchtigung schwerwiegende Folgen für das Gemeinwesen etwa in Form von Versorgungsausfällen hätte. Cyberattacken müssen Unternehmen künftig an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dies soll anonym geschehen, sofern der Vorfall noch nicht zu einer gefährlichen Beeinträchtigung geführt hat. Das BSI wertet die Informationen aus und erstellt ein Lagebild, um andere Unternehmen derselben Branche zu warnen. Außerdem müssen die Firmen künftig Mindeststandards bei der IT-Sicherheit erfüllen.

Zu den kritischen Infrastrukturen rechnet die Regierung Unternehmen im Energie- und Gesundheitsbereich, bei Wasserversorgung, Transport und Verkehr, Telekommunikation sowie im Finanz- und Versicherungswesen. Konkreter wird die Vorlage von Innenminister Thomas de Maiziere (CDU) nicht. Die Definition soll erst nach Verabschiedung des Gesetzes in einer Rechtsverordnung geklärt werden, die bis Jahresende folgen soll.

Wirtschaft fordert Klarheit über Geltungsbereich

Die Wirtschaft möchte jedoch schnell Klarheit. “Notwendig ist eine genauere Definition, was der Geltungsbereich des Gesetzes ist”, sagt der Präsident des Branchenverbands Bitkom, Dieter Kempf. Er verweist auf eine Studie von KPMG im Auftrag seines Verbandes sowie des Bundesverbands der Deutschen Industrie (BDI). Die Experten gehen darin von 20.000 Unternehmen aus, die unter die Meldepflichten fallen würden, die Bundesregierung bislang von 2000 Firmen. Kempf mahnt: Der Kreis der Unternehmen müsse “hinreichend präzise abgrenzbar” sein. Auch IT-Expertin Katrin Sobania vom Deutschen Industrie- und Handelskammertag (DIHK) rät: “Würde die Rechtsverordnung parallel zum Gesetzgebungsverfahren erarbeitet, könnte sich die Akzeptanz in der Wirtschaft erhöhen.”

Read more

Blog English, Cyber Crime, Cyber Security, Industry Updates & News