IT-Sicherheitsgesetz ist schwammig und praxisfern
Das geplante IT-Sicherheitsgesetz der Bundesregierung hat bei der IT-Wirtschaft für Stirnrunzeln gesorgt. Der Entwurf ist nach ihrer Auffassung teils zu schwammig, teils von Unwissen über die Praxis gezeichnet.
Entsprechend forderte der IT-Branchenverband im Zuge der Anhörungen zu dem Gesetz Nachbesserungen an verschiedenen Stellen. Grundsätzlich unterstütze man das Anliegen, da es nötig sei, ein einheitlich hohes Sicherheitsniveau bei den unterschiedlichen Betreibern kritischer Infrastrukturen herzustellen. Der Entwurf beinhaltet nach Ansicht des Verbandes aber verschiedene Probleme.
So müsse für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen klar gestellt werden, welche Unternehmen betroffen sind und welche Ereignisse meldepflichtig sind. "Eine überzogene Ausweitung von Meldepflichten lehnen wir ab, weil sie hohen bürokratischen Aufwand und eine Flut kaum relevanter Meldungen verursacht", kommentierte BITKOM-Präsident Dieter Kempf die aktuelle Ausrichtung des Gesetzes.
Das widerspräche dem Ziel, ein möglichst gutes Bild über die Sicherheitslage im Internet zu bekommen. So werden die großen Betreiber von Internetdiensten täglich tausendfach angegriffen. "Selbst erfolgreiche Angriffe führen nicht zu größeren Schäden, wenn sie frühzeitig erkannt werden oder sich der Schädling als harmlos erweist", so Kempf. Daher sollte im Gesetzestext klargestellt werden, was mit "erheblichen IT-Sicherheitsvorfällen" gemeint ist.
Völlig unklar bleibe im Gesetzestext außerdem, welche Unternehmen in Zukunft als Betreiber kritischer Infrastrukturen eingestuft werden und deshalb IT-Sicherheitsvorfälle beziehungsweise Angriffe melden müssen. Das soll erst später im Rahmen einer Verordnung konkretisiert werden. "Dieses Vorgehen ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor", so Kempf.
Aus Sicht des BITKOM sollte sich das Gesetz bei der Festlegung an der Definition des Bundesinnenministeriums orientieren. Danach sind kritische Infrastrukturen Organisationen und Einrichtungen, deren Ausfall "nachhaltig wirkende Versorgungsengpässe" oder "erhebliche Störungen der öffentlichen Sicherheit" zur Folge haben. Diese Gefahr besteht aber nur bei einer begrenzten Anzahl von Unternehmen. Eine Ausweitung der Meldepflichten auf andere IT-Firmen wie Online-Shops, Cloud Service Provider oder soziale Netzwerke, wie sie die EU-Kommission plant, seien unverhältnismäßig.
Außerdem befürchtet der BITKOM eine Doppelregulierung. Die Anbieter von Telekommunikationsdiensten sind bereits nach dem Telekommunikationsgesetz verpflichtet, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. Sind personenbezogene Daten betroffen, müssen auch die betroffenen Nutzer und damit die Öffentlichkeit informiert werden. Hier herrscht Unklarheit, inwieweit diese bereits vorhandenen Vorgaben berücksichtigt werden.
So müsse für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen klar gestellt werden, welche Unternehmen betroffen sind und welche Ereignisse meldepflichtig sind. "Eine überzogene Ausweitung von Meldepflichten lehnen wir ab, weil sie hohen bürokratischen Aufwand und eine Flut kaum relevanter Meldungen verursacht", kommentierte BITKOM-Präsident Dieter Kempf die aktuelle Ausrichtung des Gesetzes.
Das widerspräche dem Ziel, ein möglichst gutes Bild über die Sicherheitslage im Internet zu bekommen. So werden die großen Betreiber von Internetdiensten täglich tausendfach angegriffen. "Selbst erfolgreiche Angriffe führen nicht zu größeren Schäden, wenn sie frühzeitig erkannt werden oder sich der Schädling als harmlos erweist", so Kempf. Daher sollte im Gesetzestext klargestellt werden, was mit "erheblichen IT-Sicherheitsvorfällen" gemeint ist.
Völlig unklar bleibe im Gesetzestext außerdem, welche Unternehmen in Zukunft als Betreiber kritischer Infrastrukturen eingestuft werden und deshalb IT-Sicherheitsvorfälle beziehungsweise Angriffe melden müssen. Das soll erst später im Rahmen einer Verordnung konkretisiert werden. "Dieses Vorgehen ist intransparent und öffnet einer übertriebenen Ausweitung der Meldepflichten Tür und Tor", so Kempf.
Aus Sicht des BITKOM sollte sich das Gesetz bei der Festlegung an der Definition des Bundesinnenministeriums orientieren. Danach sind kritische Infrastrukturen Organisationen und Einrichtungen, deren Ausfall "nachhaltig wirkende Versorgungsengpässe" oder "erhebliche Störungen der öffentlichen Sicherheit" zur Folge haben. Diese Gefahr besteht aber nur bei einer begrenzten Anzahl von Unternehmen. Eine Ausweitung der Meldepflichten auf andere IT-Firmen wie Online-Shops, Cloud Service Provider oder soziale Netzwerke, wie sie die EU-Kommission plant, seien unverhältnismäßig.
Außerdem befürchtet der BITKOM eine Doppelregulierung. Die Anbieter von Telekommunikationsdiensten sind bereits nach dem Telekommunikationsgesetz verpflichtet, erhebliche Sicherheitsvorfälle an die Bundesnetzagentur zu melden. Sind personenbezogene Daten betroffen, müssen auch die betroffenen Nutzer und damit die Öffentlichkeit informiert werden. Hier herrscht Unklarheit, inwieweit diese bereits vorhandenen Vorgaben berücksichtigt werden.
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen