Wirtschaft wettert gegen geplantes IT-Sicherheitsgesetz
Das Innenministerium hat einen Gesetzesentwurf zur Förderung der IT-Sicherheit vorgelegt – und nun melden Wirtschaftsverbände Bedenken an. Sie befürchten Überregulierung und Kompetenzwirrwarr.
Die Internet- und IT-Wirtschaft hegt schwere Bedenken gegen den Gesetzesentwurf des Bundesinnenministeriums zur Verbesserung der IT-Sicherheit. Laut einer heise online vorliegenden Stellungnahme bezweifelt der IT-Branchenverband Bitkom, dass es angesichts bestehender Gesetze und freiwilliger Initiativen überhaupt einen weiteren Handlungsbedarf gibt. Bestehende Systeme zur Selbstregulierung wie die Allianz für Cybersicherheit seien besser geeignet, sich auch innerhalb verschiedener Wirtschaftsbereiche auf hohe Sicherheitsstandards zu einigen. Zuvor hatten sich bereits auch Datenschützer kritisch geäußert.
Der Bitkom sieht im Gesetzesentwurf die Gefahr von Überregulierung und Überschneidung von Kompetenzen. Zwar sollten IT-Systeme kritischer Infrastrukturen besser geschützt werden, doch die Definition der dazugehörigen Bereiche müsse schon im Gesetz "wesentlich konkreter ausgeführt werden". Das sollte nicht einer Verordnung überlassen bleiben, wie es im Entwurf vorgesehen sei.
Besonders stark missfällt dem Bitkom die eingeplante Meldepflicht für alle Störungen der Verfügbarkeit und für Zwischenfälle, die die Sicherheit von Nutzersystemen und eventuelle unbefugte Zugriffe betreffen. Kurzzeitige Einschränkungen ließen sich in Netzen generell nicht ausschließen. Zudem sollten über das Gesetz für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Telekommunikationsgesetz (TKG) zwei teils parallele Meldewege etabliert werden – das solle vermieden werden. Gegenüber den Endnutzern dürfe es zudem höchstens eine Informationspflicht geben, aber keine zur Hilfestellung. Unternehmen könnten nach einer Störungsmeldung zudem mit Haftungsfragen konfrontiert werden.
Der Bitkom merkt an, dass das BSI ausschließlich beratend mitwirken dürfte, wenn branchenspezifische Sicherheitsstandards entwickelt würden. Die der Behörde in Aussicht gestellten Informations-, Kontroll- und Anordnungsbefugnisse seien hingegen unnötig. Die Tiefe der geforderten Audits müsse genauer beschrieben und auch bereits bestehende Zertifizierungen sollten alternativ als Qualitätsnachweis anerkannt werden. Sollte das BSI für Betreiber kritischer Infrastrukturen auch Beratungen und Hilfestellungen anbieten, befürchtet der Bitkom dadurch eine Konkurrenz zum "funktionierenden, privatwirtschaftlichen" Markt qualifizierter Sicherheitsdienstleister.
Auch dem Präsidenten des Verbands der deutschen Internetwirtschaft eco Michael Rotert ist "nicht ganz wohl bei der ganzen Sache". Eine Meldepflicht an sich sei zunächst eine gute Idee, abhängig vom Ausmaß eines Vorfalls sollte aber eine Schwelle eingebaut werden. "Einfaches, ehrenwertes Sicherheitsstreben" dürfte letztlich nicht auf überzogene Aktionen wie eine Vorratsdatenspeicherung hinauslaufen. Ebenfalls kritisiert Rotert, dass "die Zusammenarbeit der Meldebehörden mit Europa und dem Rest der Welt" gar nicht berücksichtigt wurde. Dabei machen Angriffe auf und über das Internet nicht vor Landesgrenzen halt.
Steve Durbin, Vizepräsident des Information Security Forums (ISF), lobt hingegen den Entwurf des Innenministeriums als Schritt in die richtige Richtung. Transparenz und Austausch über Cyberangriffe brächten allen Beteiligten mehr Sicherheit im Netz, solange sie in einem geschützten Rahmen stattfänden. Aufwand und Kosten eines solchen Gesetzes sollten aber "in gesundem Verhältnis zum Nutzen stehen". Die Initiative sei zudem auf die EU-Pläne für mehr Cybersicherheit abzustimmen.
Beim Versand des Entwurfs hat das Innenministerium selbst geschrieben, dass das Vorhaben noch nicht mit der Bundesregierung abgestimmt ist. In Sektoren wie Telekommunikation und Energie seien vielleicht gar keine zusätzlichen Maßnahmen nötig; Zusatzbelastungen will das Innenressort vermeiden, sofern möglich. Das liberal geführte Bundeswirtschaftsministerium hatte zuvor "massive Bedenken" geäußert. Es sieht keine branchenübergreifenden Mängel in der IT-Sicherheit und bevorzugt freiwillige Kooperationen. Es ist auch gegen eine zentrale "Sicherheitsbehörde" mit über 120 neuen Stellen beim BSI, die direkten Zugriff auf kritische Infrastrukturen Privater bekäme. (axk)
