Experten sehen Änderungs- und Ergänzungsbedarf bei dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes. Das wurde während einer öffentlichen Anhörung des Innenausschusses kürzlich deutlich. Auch Axel Wehling, Mitglied der Hauptgeschäftsführung vom GDV, war bei dieser Anhörung vertreten.
Ziel der Regierungsinitiative ist es vor allem, „Kritische Infrastrukturen“, also Einrichtungen, „die für das Funktionieren unseres Gemeinwesens zentral sind“, wie die Regierung in dem Entwurf schreibt, besser vor Angriffen auf ihre informationstechnischen Systeme zu schützen. Dazu sollen deren Betreiber dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden.
Betroffene Nutzer über bekannte Störungen informieren
Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen ihrer Systeme informieren.
Iris Plöger vom Bundesverband der Deutschen Industrie (BDI) kritisierte während der Anhörung, dass aus dem Entwurf nicht hervorgehe, welche Bereiche und Unternehmen zu den „Kritischen Infrastrukturen“ gehören. Auch was die Meldepflicht angeht, so stünden „Aufwand und Nutzen in keinem Verhältnis“, kritisierte sie.
GDV bewertet Weitergabe an Dritte kritisch
Der Kritik an der fehlenden Klarstellung, wer zu den Kritischen Infrastrukturen gehört, schloss sich Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft an. Skeptisch bewertete er auch die Regelung, wonach das BSI Meldungen über Angriffe an Dritte weitergeben könne. Eine solche Meldung, solle künftig tatsächlich möglich sein, müsse so erfolgen, „das kein Rückschluss auf das betroffenene Unternehmen möglich ist“, forderte er. Aus Sicht von Professor Gerrit Hornung von der Universität Passau ist die Bestimmtheit bei der Beschreibung der Kritischen Infrastrukturen „gerade noch gewahrt“. Dennoch sei es sinnvoll, die Kriterien für deren Auswahl in das Gesetz einzufügen, sagte er.
Professor Jochen Schiller von der Freien Universität Berlin rückte kleine und mittelständische Unternehmen (KMU) in den Mittelpunkt des Interesses. Diese seien in dem Entwurf nicht erfasst, was aus seiner Sicht sogar nachvollziehbar ist. Dennoch dürfe man nicht der Fehleinschätzung unterliegen, KMUs bedürften keines Schutzes. Schiller sprach sich somit für eine dahingehende Anpassung des Gesetzes „in einem weiteren Schritt“ aus.
Was das Gesetz bezwecken und verändern will
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern und die Systeme der IT-Sicherheitslage anzupassen. Ziel des Gesetzes ist eine Verbesserung der ITSicherheit bei Unternehmen, ein verstärkter Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch eine Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamts (BKA).
Der Entwurf sieht für Betreiber Kritischer Infrastrukturen zum einen die Pflicht zur Einhaltung eines Mindestniveaus an IT-Sicherheit und zum anderen die Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle vor.
Mögliche Anzahl der Kritischen Infrastrukturen und ihre künftigen Aufgaben
Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr erfolgen.
Betreiber kritischer Infrastrukturen sollen verpflichtet werden, spätestens zwei Jahre nach Erlass der oben genannten Rechtsverordnung organisatorische und technische Mindestanforderungen zur Vermeidung von Beeinträchtigungen ihrer informationstechnischen Systeme und Prozesse zu erfüllen, soweit diese für den Betrieb ihrer kritischen Infrastrukturen erforderlich sind.
Textquelle: Bundestag; Bildquelle: © pitels / fotalia
Ziel der Regierungsinitiative ist es vor allem, „Kritische Infrastrukturen“, also Einrichtungen, „die für das Funktionieren unseres Gemeinwesens zentral sind“, wie die Regierung in dem Entwurf schreibt, besser vor Angriffen auf ihre informationstechnischen Systeme zu schützen. Dazu sollen deren Betreiber dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden.
Betroffene Nutzer über bekannte Störungen informieren
Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen ihrer Systeme informieren.
Iris Plöger vom Bundesverband der Deutschen Industrie (BDI) kritisierte während der Anhörung, dass aus dem Entwurf nicht hervorgehe, welche Bereiche und Unternehmen zu den „Kritischen Infrastrukturen“ gehören. Auch was die Meldepflicht angeht, so stünden „Aufwand und Nutzen in keinem Verhältnis“, kritisierte sie.
GDV bewertet Weitergabe an Dritte kritisch
Der Kritik an der fehlenden Klarstellung, wer zu den Kritischen Infrastrukturen gehört, schloss sich Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft an. Skeptisch bewertete er auch die Regelung, wonach das BSI Meldungen über Angriffe an Dritte weitergeben könne. Eine solche Meldung, solle künftig tatsächlich möglich sein, müsse so erfolgen, „das kein Rückschluss auf das betroffenene Unternehmen möglich ist“, forderte er. Aus Sicht von Professor Gerrit Hornung von der Universität Passau ist die Bestimmtheit bei der Beschreibung der Kritischen Infrastrukturen „gerade noch gewahrt“. Dennoch sei es sinnvoll, die Kriterien für deren Auswahl in das Gesetz einzufügen, sagte er.
Professor Jochen Schiller von der Freien Universität Berlin rückte kleine und mittelständische Unternehmen (KMU) in den Mittelpunkt des Interesses. Diese seien in dem Entwurf nicht erfasst, was aus seiner Sicht sogar nachvollziehbar ist. Dennoch dürfe man nicht der Fehleinschätzung unterliegen, KMUs bedürften keines Schutzes. Schiller sprach sich somit für eine dahingehende Anpassung des Gesetzes „in einem weiteren Schritt“ aus.
Was das Gesetz bezwecken und verändern will
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern und die Systeme der IT-Sicherheitslage anzupassen. Ziel des Gesetzes ist eine Verbesserung der ITSicherheit bei Unternehmen, ein verstärkter Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch eine Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamts (BKA).
Der Entwurf sieht für Betreiber Kritischer Infrastrukturen zum einen die Pflicht zur Einhaltung eines Mindestniveaus an IT-Sicherheit und zum anderen die Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle vor.
Mögliche Anzahl der Kritischen Infrastrukturen und ihre künftigen Aufgaben
Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr erfolgen.
Betreiber kritischer Infrastrukturen sollen verpflichtet werden, spätestens zwei Jahre nach Erlass der oben genannten Rechtsverordnung organisatorische und technische Mindestanforderungen zur Vermeidung von Beeinträchtigungen ihrer informationstechnischen Systeme und Prozesse zu erfüllen, soweit diese für den Betrieb ihrer kritischen Infrastrukturen erforderlich sind.
Textquelle: Bundestag; Bildquelle: © pitels / fotalia
Autor(en): versicherungsmagazin.de
