In einem Gastbeitrag für die FAZ wirbt der Bundesinnenminister Thomas de Maizière für das erste IT-Sicherheitsgesetz. Das erklärte Ziel umfasst sowohl neue Maßstäbe in der Bekämpfung der Cyberkriminalität als auch neue Standards für zahlreiche Branchen.
Der Inhalt im Überblick
Der Hintergrund
In der heutigen Zeit muss derjenige, der einem Unternehmen Firmengeheimnisse wie Patente oder Konstruktionspläne entlocken will, nicht mehr im klassischen Sinne einbrechen. Eine digitale Diebestour führt genauso zum Erfolg. Jährlich entsteht in Europa durch Cyberkriminalität ein Schaden von geschätzten 750 Mio. Euro, Tendenz steigend. Dem soll jetzt ein Riegel vorgeschoben werden – mit Deutschland in der Vorreiterrolle.
Wen betrifft der Gesetzesentwurf?
Betroffen durch das geplante Gesetz sind insbesondere Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. In diesen Branchen ist das IT-Sicherheitsniveau sehr unterschiedlich, was daraus resultiert, dass bislang seitens der Politik auf freiwillige Standards im Bereich der IT-Sicherheit gesetzt wurde. Problematisch dabei ist, dass gerade in diesen Branchen ein Verlust von teils sensiblen Daten dramatische Folgen haben kann.
Was wird sich für Unternehmen ändern?
Zuletzt ist die Idee für den Gesetzesentwurf auf der diesjährigen Cebit angekündigt worden. Nun wirbt De Maizière vehement und mit großen Worten für das IT-Sicherheitsgesetz, dessen Kern vor allem die Abkehr von dem Prinzip der Freiwilligkeit ist. So soll es in Deutschland nach seiner Vorstellung
„die sichersten IT-Systeme und digitalen Infrastrukturen weltweit“
geben und das Gesetz
„IT-Sicherheitsunternehmen stärken und ihnen verbesserte Exportchancen eröffnen“.
Als Neuerungen sind insbesondere vorgesehen:
- eine Meldepflicht für Firmen gegenüber dem BSI, die Opfer von Hacker-Angriffen wurden; sofern das jeweilige Netz nicht ausfällt oder gestört wird, soll zunächst eine anonyme Meldung ausreichen
- eine Verpflichtung der Internet-Provider ihre Nutzer im Fall einer Systemstörung zu informieren
- IT-Unternehmen sollen innerhalb von zwei Jahren Sicherheitsstandards für ihre Branche festlegen
- die Zuständigkeit des Bundeskriminalamts (BKA) wird auf Cyberdelikte ausgeweitet (bislang waren dafür die Länder zuständig)
Déjà-vu – da war doch was!?
Wem das Ganze bekannt vorkommt, der täuscht sich nicht. Im Juni letzten Jahres – kurz vor der Bundestagswahl – scheiterte die Idee des früheren Bundesinnenministers Hans-Peter Friedrich für ein IT-Sicherheitsgesetz. Auch in dem damaligen Gesetzesentwurf war eine Meldepflicht für Unternehmen vorgesehen. Es blieb letztlich bei einem Entwurf, denn die Situation zwischen dem Bundesinnenministerium (CSU) und dem Bundeswirtschaftsministerium (FDP) war mehr als verfahren.
Die ablehnende Haltung seitens des BMWi resultierte aus dem starken Widerstand der Unternehmen. Zum einen wurde die Meldepflicht kritisiert, da es in vielen Bereichen bereits gesetzliche Melde- und Transparenzverpflichtungen gäbe, denen die Unternehmen nachkommen müssten. Zum anderen sehen Firmen immer die Möglichkeit eines Reputationsschadens, wenn sie mit einer solchen Meldung an die Öffentlichkeit gehen müssen.
Ausblick
Es ist zu begrüßen, dass sich die Regierung dem wichtigen Thema der IT-Sicherheit zuwendet und regulierend eingreifen will. Fraglich ist allerdings, ob nur ein Jahr nachdem ein sehr ähnlicher Gesetzesentwurf bereits gescheitert ist, die Situation eine völlig andere ist. Auch jetzt wird noch mit Widerstand seitens der betroffenen Unternehmen zu rechnen sein. Auch die Kostenfrage ist nicht außer Acht zu lassen, denn beim BKA als auch beim BSI sind neue Stellen notwendig, um die geplanten Regelungen bewältigen zu können. Die geschätzten Kosten liegen hierfür bei rund 21,1 Millionen Euro.
Zudem sei an dieser Stelle noch angemerkt, dass der Innenminister die Vorreiterroller, in die er alle deutschen Unternehmen drängen möchte, selbst erstmal verwirklichen sollte. Zum Anfang könnte er dafür sorgen, dass es auf der Internetpräsenz seines Ministeriums eine Datenschutzerklärung gibt…
