Unternehmen werden zum Schutz vor Cyberangriffen verpflichtet

Bild BMIDeutsche Unternehmen sind miteinander vernetzt und voneinander abhängig, pflegen jedoch ein unterschiedliches Niveau an IT-Sicherheit. Hier will der Gesetzgeber für Vereinheitlichung sorgen. In einer Bundestagsrede am 26.06.2014 erklärte Bundesinnenminister de Maizière: „Sicherheit, Schutz und Vertrauen sind heute im Internet Wettbewerbsfaktoren. Vertrauen ist eine Währung im Internetzeitalter geworden. (…) Wir werden ein IT-Sicherheitsgesetz vorlegen, das Rahmenbedingungen für den sicheren Betrieb von kritischen Infrastrukturen und unserer IT-Systeme beinhaltet.“ (Quelle: BMI, Rede vom 26.06.2014). Der Gesetzesentwurf sieht eine Pflicht zur Meldung von IT-Sicherheitsvorfällen durch Betreiber kritischer Infrastrukturen und Telekommunikationdiensteanbieter sowie die Einführung von IT-Mindestsicherheitsstandards vor.

Update vom 25.7.2015: Das Gesetz ist am 25.7.2015 in Kraft getreten.

Noch bevor das Innenministerium den Entwurf in den Bundestag eingebracht hat, hat der Bundesverband der Deutschen Industrie (BDI) zu den Erfüllungskosten der Neuregelung, die vorwiegend die Wirtschaft treffen, Stellung genommen.

Die hierfür beauftragte Wirtschaftsprüfungsgesellschaft KPMG befragte dazu Unternehmensvertreter aus den Bereichen der kritischen Infrastruktur und Telekommunikationsindustrie sowie Unternehmen der Zulieferer und Ausrüsterindustrie und schätzte die aus der Meldepflicht resultierendem Bürokratiekosten (Quelle: BDI, KPMG-Studie). „Die Berechnungen zeigen, dass die Umsetzung der Meldepflicht, so wie sie im Referentenentwurf vom 12. März 2013 ausgestaltet ist, zu signifikanten Erhöhungen der Personal und Sachkosten für die betroffenen Unternehmen führen kann. Finanzielle Belastungen könnten sich zudem auch aus dem Risiko möglicher Reputationsschäden ergeben, die aus einem fehlerhaften Umgang mit den Meldedaten entstehen kann.“ Die geschätzten Bürokratiekosten summieren sich danach auf insgesamt rund 1,1 Milliarde Euro pro Jahr.

Der Gesetzesentwurf sieht eine Meldung unter Offenlegung der Identität des jeweils meldenden Unternehmens vor. Da dies von den befragten Unternehmen abgelehnt werde, empfiehlt KPMG stattdessen eine pseudonomysierte Angabe von IT-Sicherheitsfällen, womit dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin ermöglicht werde, ein Lagebild zu erstellen, aber das Risiko von Reputationsschäden für die meldenden Unternehmen minimiert würden. Ein unabhängiger Treuhänder könne dabei die vermittelnde Rolle annehmen und bei Bedarf auch einen gesicherten Rückkanal zum meldenden Unternehmen zur Verfügung stellen.

BDI-Präsident Grillo erklärte anlässlich der Veröffentlichung der Studie: „Wirtschaft und Politik verfolgen das gleiche Ziel: Die nachdrückliche Stärkung der IT-Sicherheit.“ (Quelle: BDI, Mitteilung vom 03.07.2014). Die anteilige Übernahme der Kosten wird hingegen von weitaus kritischeren Tönen begleitet.

ERSTVERÖFFENTLICHUNG AM 3. JULI 2014