Innere Sicherheit, Informationsschutz

IT-Sicherheitsgesetz – Bundesinnenministerium ohne Konzept

Arne Schönbohm, Präsident des Cyber-Sicherheitsrats Deutschland e.V.

Pressemitteilung des Cyber-Sicherheitsrats Deutschland e.V (CSRD) anlässlich des Referentenentwurfs zum IT-Sicherheitsgesetz:

Nach dem Willen der Bundesregierung sollen neue Maßstäbe im Bereich der Cybersicherheit gesetzt werden. Bundesinnenminister Dr. Thomas de Maiziere  sprach in diesem Zusammenhang davon, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden sollen. Zur Umsetzung dieser Vorgaben wurde das sogenannte IT-Sicherheitsgesetz entworfen. Damit sollen insbesondere Betreiber kritischer Infrastrukturen (Energie, Finanzen, Logistik, Telekommunikation und Gesundheit), sogenannte KRITIS, vor Cyberangriffen geschützt werden, deren Ausfall weitreichende Folgen für die Gesellschaft hätte. Der erste Entwurf des Gesetzes wurde bereits im März 2013 vorgelegt. Der zweite Entwurf wurde im August 2014 veröffentlicht. Gegenwärtig liegt den Verbänden der dritte Entwurf vom November 2014 vor.

Der Cyber-Sicherheitsrat Deutschland e.V (CSRD) hat die Entwicklung von Anfang an begleitet und muss leider feststellen, dass die vorgeschlagenen Regelungen keine positiven Auswirkungen auf die IT-Sicherheit in Deutschland haben werden. Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., stellt diesbezüglich fest:

„Es wird deutlich, dass das Bundesinnenministerium kein Konzept zur Steigerung der IT-Sicherheit in Deutschland hat. Den Verbänden wurde mittlerweile der dritte Gesetzesentwurf vorgelegt, obwohl die Abstimmung zwischen den Ressorts noch immer nicht abgeschlossen ist. Der Entwurf sieht nicht einmal vor, welche finanziellen Mittel zur Verfügung gestellt werden, damit die Behörden ihre Aufgaben ordnungsgemäß erfüllen können.“

Obwohl Verbände und Datenschützer in den letzten Monaten konstruktiv am geplanten IT-Sicherheitsgesetz mitgewirkt haben, sind etliche Kritikpunkte noch nicht ausreichend gewürdigt worden:

  • Der Anwendungsbereich des Gesetzes ist vollkommen unverhältnismäßig. Nach dem aktuellen Entwurf sollen auch Unternehmen ab zehn Mitarbeitern und einem Umsatz von mehr als zwei Millionen Euro unter die strengen Vorgaben des Gesetzes fallen. Bei einem Ausfall derartiger Unternehmen kann aber kaum von einer flächendeckenden Versorgungsgefahr gesprochen werden.
  • Zur Vermeidung von Doppelregulierungen soll das Gesetz für bestimmte Branchen nur subsidiär gelten. Dabei wurden jedoch wichtige Details übersehen. So regelt das Energiewirtschaftsgesetz die Meldepflicht von Netzbetreibern, während das IT-Sicherheitsgesetz auch auf Betreiber von Energieanlagen abstellt. Darunter sind auch Betreiber von Energieanlagen zu verstehen, die lediglich nebenbei eine Photovoltaikanlage in Betrieb halten (z.B. große landwirtschaftliche Betriebe, mittelständische Unternehmen). Eine Meldepflicht für diese Unternehmen ist realitätsfern und unverhältnismäßig.
  • Betreiber Kritischer Infrastrukturen im Energiesektor werden aufgrund der Anwendung des EnWG einschließlich des dort angedachten IT-Sicherheitskataloges nach § 11 Abs. 1a wesentlich benachteiligt gegenüber anderen Betreibern Kritischer Infrastrukturen.
  • Der geplante Zeitrahmen von zwei Jahren für die Entwicklung, Zertifizierung und Umsetzung branchenspezifischer IT-Sicherheitsstandards ist unrealistisch. Dies gilt insbesondere für international operierende Unternehmen, die sich verschiedenen Regelungen anpassen müssen.
  • Der Bund selbst und seine Verwaltung verstehen sich seit dem dritten Entwurf nicht mehr als KRITIS. Anscheinend halten sie das Gesetz für nicht praktikabel, weshalb sie sich von dessen Umsetzung ausnehmen wollen. Was die Länder betrifft, so wurde die ursprüngliche Übertragung von Kompetenzen auf das BKA gestrichen. Nach Angaben des Ministeriums seien die Länder mit der gegenwärtigen Fassung zufrieden, es hätten sich aber auch noch nicht alle Länder am Verfahren beteiligt. Dies verdeutlicht zum einen, dass die Länder ihre eigenen Interessen über den Schutz der KRITIS stellen und zum anderen, dass die inhaltliche Abstimmung in diesem Bereich nicht ausreichend koordiniert ist.
  • Die Einbindung der verursachenden Industrie (Soft- und Hardwarehersteller) wurde komplett vernachlässigt.
  • Das Ministerium hat in seiner letzten Anhörung klargemacht, dass der Entwurf schnellstmöglich zur Abstimmung gebracht werden soll. Damit wurden die politischen Ziele über den Sachverstand der beteiligten Verbände gestellt. Diese haben ausdrücklich darauf hingewiesen, dass das Gesetz erhebliche Kosten für die Wirtschaft zur Folge haben wird. Derartige Kosten sind nur gerechtfertigt, wenn das Gesetz auch tatsächlich die IT-Sicherheit erhöht, was bislang nicht angenommen werden kann.

In letzter Konsequenz wird deutlich, dass es anscheinend keine konsistente Cyber-Sicherheitsstrategie des Bundes gibt, die die verschiedenen Belange von Wirtschaft, Wissenschaft und Strafverfolgung berücksichtigt. Durch die Einführung eines solchen Gesetzes würde die Bürokratie ausgebaut und das Ansehen Deutschlands zu Fragen der Cyber-Sicherheit geschmälert. Am Ende würde das Gesetz in seiner aktuellen Fassung sogar zu deutlich weniger Sicherheit führen.

Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten aus Politik und Wirtschaft gegründet.  Der in Berlin ansässige Verein ist politisch neutral und hat zum Zweck Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cybersicherheit zu beraten und im Kampf gegen die Cyber-Kriminalität zu stärken. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Experten und politische Entscheider mit Bezug zum Thema Cybersicherheit. Über seine Mitglieder repräsentiert der Verein etwa zwei Millionen Arbeitnehmer aus der Wirtschaft und über 1,8 Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.

V.i.S.d.P.: Hans-Wilhelm Dünn; Vizepräsident Cyber-Sicherheitsrat Deutschland e.V. – Kontakt: Telefon: 030 6796 365 24

Anmerkung: Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., ist Redaktionsmitglied des Security Explorers.

01.12.2014

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40