IT-Sicherheitsgesetz ist schwammig und praxisfern

Das geplante IT-Sicherheitsgesetz der Bundesregierung hat bei der IT-Wirtschaft für Stirnrunzeln gesorgt. Der Entwurf ist nach ihrer Auffassung teils zu schwammig, teils von Unwissen über die Praxis gezeichnet.
Entsprechend forderte der IT-Branchenverband im Zuge der Anhörungen zu dem Gesetz Nachbesserungen an verschiedenen Stellen. Grundsätzlich unterstütze man das Anliegen, da es nötig sei, ein einheitlich hohes Sicherheitsniveau bei den unterschiedlichen Betreibern kritischer Infrastrukturen herzustellen. Der Entwurf beinhaltet nach Ansicht des Verbandes aber verschiedene Probleme.

So müsse für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen klar gestellt werden, welche Unternehmen betroffen sind und welche Ereignisse meldepflichtig sind. "Eine überzogene Ausweitung von Meldepflichten lehnen wir ab, weil sie hohen bürokratischen Aufwand und eine Flut kaum relevanter Meldungen verursacht", kommentierte BITKOM-Präsident Dieter Kempf die aktuelle Ausrichtung des Gesetzes.

Das widerspräche dem Ziel, ein möglichst gutes Bild über die Sicherheitslage im Internet zu bekommen. So werden die großen Betreiber von Internetdiensten täglich tausendfach angegriffen. "Selbst erfolgreiche Angriffe führen nicht zu größeren Schäden, wenn sie frühzeitig erkannt werden oder sich der Schädling als harmlos erweist", so Kempf. Daher sollte im Gesetzestext klargestellt werden, was mit "erheblichen IT-Sicherheitsvorfällen" gemeint ist.

Völlig unklar bleibe im Gesetzestext außerdem, welche Unternehmen in Zukunft als Betreiber kritischer Infrastrukturen eingestuft werden und deshalb IT-Sicherheitsvorfälle beziehungsweise Angriffe melden müssen. Das soll erst später im Rahmen einer Verordnung konkretisiert werden. "Dieses Vorgehen ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor", so Kempf.

Aus Sicht des BITKOM sollte sich das Gesetz bei der Festlegung an der Definition des Bundesinnenministeriums orientieren. Danach sind kritische Infrastrukturen Organisationen und Einrichtungen, deren Ausfall "nachhaltig wirkende Versorgungsengpässe" oder "erhebliche Störungen der öffentlichen Sicherheit" zur Folge haben. Diese Gefahr besteht aber nur bei einer begrenzten Anzahl von Unternehmen. Eine Ausweitung der Meldepflichten auf andere IT-Firmen wie Online-Shops, Cloud Service Provider oder soziale Netzwerke, wie sie die EU-Kommission plant, seien unverhältnismäßig.

Außerdem befürchtet der BITKOM eine Doppelregulierung. Die Anbieter von Telekommunikationsdiensten sind bereits nach dem Telekommunikationsgesetz verpflichtet, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. Sind personenbezogene Daten betroffen, müssen auch die betroffenen Nutzer und damit die Öffentlichkeit informiert werden. Hier herrscht Unklarheit, inwieweit diese bereits vorhandenen Vorgaben berücksichtigt werden. Sicherheit, schloss, Abus Sicherheit, schloss, Abus Robert Wallace / Flickr
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 11:45 Uhr AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
Original Amazon-Preis
18,98
Im Preisvergleich ab
?
Blitzangebot-Preis
14,99
Ersparnis zu Amazon 21% oder 3,99
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden