Industrie zweifelt am Sinn des IT-Sicherheitsgesetzes

Beim Bonner Dialog für Cybersicherheit waren sich alle Beteiligten einig: Wirtschaft und Staat müssen endlich gemeinsam gegen die grassierenden IT-Attacken vorgehen. Doch allzu viel Vertrauen bringt die Wirtschaft dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als ausführende Instanz nicht entgegen. Zudem kritisieren Vertreter unterschiedlicher Branche Unklarheiten, die das Gesetz, das derzeit den Bundestag durchläuft, in einen Papiertiger verwandeln könnten.

Meldepflicht für wenige

Dreh- und Angelpunkt der Kritik ist der Plan, Mindeststandards für IT-Sicherheit und eine Meldepflicht für IT-Angriffe für kritische Infrastrukturen einzuführen. Obwohl der frühere Chef der Deutschen Telekom den Ball für eine solche Meldepflicht bereits 2012 ins Rollen gebracht hatte, sieht sich der Konzern durch den derzeitigen Gesetzentwurf übervorteilt. So sind Telekom-Anbieter betroffen, andere Branchen und ausländische Konkurrenten hingegen nicht.

"Wir kämpfen in einem globalen Markt, nicht in einem deutschen oder europäischen Markt", erklärte Axel Petri von der Deutschen Telekom. Er plädierte dafür, dass nicht nur Telekom-Anbieter und Betreiber kritischer Infrastrukturen in die Meldepflicht aufgenommen werden sollten, sondern auch Anbieter von "Over The Top"-Diensten und Hardware-Hersteller, wenn diese auf dem deutschen Markt Geld verdienen. Sprich: Unternehmen wie Apple, Google, Netflix und Facebook sollen unter den gleichen Regeln operieren müssen wie die deutschen Konzerne. Doch die entsprechenden Pläne der US-Regierung sähen im Gegensatz zum deutschen Gesetz nur eine freiwillige Meldepflicht vor.

Auch die Finanzwirtschaft ist nicht glücklich damit bei einer weiteren Behörde Rapport leisten zu müssen. Pascal Tagné von der Deutschen Postbank stellte die Effektivität der geplanten Maßnahmen in Frage: "Wir müssen uns fragen: Was kann das BSI überhaupt leisten?" So hätten die Geldwäschegesetze in der Praxis jede Menge Verdachtsfälle produziert, von denen Strafverfolgungsbehörden nur einen kleinen Teil abarbeiten könnten.

Auf Konfrontationskurs mit der Bonner IT-Behörde ging Hans-Wilhelm Dünn, Vize-Präsident des Vereins Cyber-Sicherheitsrat Deutschland. Er kritisierte, dass das BSI personell und finanziell viel zu schlecht aufgestellt sei, um einen wirklichen Effekt bei der Cybersicherheit von kleinen und mittleren Unternehmen zu bewirken. So sei der Etat des Bundesinnenministeriums mittlerweile auf 6,3 Milliarden Euro angewachsen, die Mittel des BSI jedoch auf 78 Millionen Euro gekürzt worden. Zudem gehe der Gesetzgeber mit schlechtem Beispiel voran, weil öffentliche Verwaltungen von den Regelungen ausgenommen seien.

Erprobte Behörde oder unterfinanzierter Papiertiger?

An Andreas Könen, dem Vizepräsidenten des BSI, schien diese Kritik jedoch weitgehend abzuperlen. So sei seine Behörde durchaus darauf eingerichtet, die Angriffsmeldungen der schätzungsweise 2000 zunächst betroffenen Unternehmen abzuarbeiten. "Hier reden wir nicht von Knicken, Lochen, Abheften", stellte Könen klar. Seine Behörde erfasse nicht nur Vorfälle, sondern erstelle in Zusammenarbeit mit Kooperationspartnern auch Lösungen. Gleichwohl sei für die Versorgung der Hunderttausenden Kleinunternehmen auch die IT-Sicherheits-Wirtschaft gefragt.

Erfahrung habe das BSI genug: So arbeite die Behörde bereits seit 2006 mit vielen Betreibern kritischer Infrastrukturen zusammen und habe durch die Verwaltung der IT-Netze der Bundesbehörden bereits ein eingespieltes System der Informationsauswertung. Könen kritisierte im Gegenzug die Untätigkeit einiger Branchen. Während sich zum Beispiel die Versicherungswirtschaft kooperativ um eine Verbesserung der Sicherheitslage bemüht habe, habe er in der anderen Branchen entsprechende Initiativen vermisst. Eigentlich habe der Gesetzgeber angesichts der fortschreitenden Digitalisierung aller Wirtschafts- und Lebensbereiche viel zu lange mit einer gesetzlichen Verpflichtung zur Kooperation gewartet: "Das Gesetz hätte schon in der letzten Legislaturperiode kommen sollen", erklärte Könen.

(axk)