Kritik am IT-Sicherheitsgesetz: Aufwand ist höher als der Nutzen

Inhaltsverzeichnis

Der Plan des Bundesinnenministeriums, über den Entwurf eines IT-Sicherheitsgesetzes 2.0 erweiterte Melde- und Zertifizierungspflichten einzuführen, kommt in der Wirtschaft nicht gut an. Die mit der Skizze derzeit befasste Bundesregierung müsse die tatsächliche erzielte Sicherheit stärker in ein "gesundes Verhältnis zum Aufwand" stellen, erklärte Friedrich-Wilhelm Menge, Chief Information Officer der Berliner Verkehrsbetriebe (BVG), am Dienstag auf der Konferenz Public-IT-Security in Berlin. Mit den bestehenden gesetzlichen Regeln sei die Belastung für die gesamte Industrie auf neun Millionen Euro beziffert worden. Laut einer KPMG-Studie liege sie aber bereits bei über einer Milliarde.

Keine zahnlosen Tiger

Er sei gespannt, wann und wie sich im eigenen Unternehmen die Vorteile der bisher geleisteten Mühen, etwa die richtigen Meldekanäle für IT-Sicherheitsvorfälle einzuführen, einmal entfalteten, meinte Menge. Eingegangen sei bisher nur einmal eine Information, "die uns davor geschützt hat, dass wir eine Fehldatenverarbeitung durchgeführt haben". Diese hätte aber die IT-Sicherheit der Anstalt öffentlichen Rechts insgesamt nicht beeinträchtigt.

Den Ansatz "Security by Design" bezeichnete der Techniker prinzipiell als gut. Doch wenn sich daraus nur ein "Dokumentationsprozess mit einem weiteren Haken" ableite, werde das Ziel nicht erreicht. Das Vorhaben des Innenministeriums, mit der Reform höhere Bußgelder einzuführen, lobte Menge. Damit könnte ein ähnlicher Effekt verknüpft sein wie beim scharfen Sanktionsrahmen der Datenschutz-Grundverordnung (DSGVO). Es sei wichtig, auf diesem Feld "keinen zahnlosen Tiger zu haben".

Fehlendes Wissen

Eine Zertifizierung helfe, sichere IT-Produkte einzukaufen, ergänzte Bernhard Rohleder, Geschäftsführer des Digitalverbands Bitkom. Aber wenn Firmen "nicht das Know-how haben, diese sicher einzusetzen, ist nicht viel gewonnen". Ein aufwändiges Prüfverfahren verzögere auch die Marktreife von Produkten. Der Interessensvertreter plädierte daher dafür, besser IT-Sicherheit in alle Studiengänge von Relevanz wie etwa auch bei BWL als verpflichtendes Modul mithineinzunehmen.

Bedenken hat Rohleder ferner gegen den Vorschlag, Meldepflichten und Mindeststandards auf weitere Teile der Wirtschaft wie börsennotierte deutsche Aktiengesellschaften und Unternehmen aus den Sektoren Rüstung sowie Medien und Kultur auszuweiten. Dies treffe auch den Mittelstand, sodass es wohl kaum bei 300 zusätzlichen Firmen bleibe. Zudem würden 90 Prozent der einschlägigen kritischen Fälle "gar nicht als solche identifiziert". Hier müsse zunächst das Dunkelfeld ausgeleuchtet werden.

Aufwand und Leistung

Dass Kernkomponenten für kritische Infrastrukturen wie Telekommunikationsnetze künftig nur von solchen Herstellern bezogen werden dürften, die vor dem erstmaligen Einsatz der Bestandteile "eine Erklärung über ihre Vertrauenswürdigkeit" abgegeben haben, stößt dem Lobbyisten übel auf. Allein hierzulande gebe es "120.000 Freelancer", die "Software-Schnipsel" für die TK-Branche zur Verfügung stellten. Da könne man den Aufwand für derlei Zusicherungen kaum im rechten Maß halten. Generell bezeichnete es Rohleder als "wesentliche Herausforderung, die digitale Souveränität herzustellen". Dies sei nur in einem Netzwerk vertrauenswürdiger Partner zu bewerkstelligen.

Das Innenressort will über das IT-Sicherheitsgesetz 2.0 auch massive strafrechtliche Verschärfungen durchsetzen, um etwa gegen Darknet-Betreiber, "digitalen Hausfriedensbruch" und Doxxing vorzugehen. Es drohen bis zu sechs Monate Beugehaft, wenn Nutzer sich weigern, ihre Passwörter herauszugeben. Derlei Aspekte spielten auf der Tagung des "Behördenspiegels" keine Rolle. (kbe)