Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Gesetzespläne Viel Bürokratie, wenig Sicherheitsgewinn: Verbände und Experten kritisieren IT-Sicherheitsgesetz

Wirtschaft und Experten klagen über die mangelnde Mitsprachemöglichkeit bei dem Sicherheitsgesetz. Die Bundesregierung will es trotzdem im Eilverfahren verabschieden.
31.01.2021 - 18:39 Uhr Kommentieren
Zielobjekt Computer: Etliche Pflichten für Großunternehmen sollen kommen.
Zielobjekt Computer

Zielobjekt Computer: Etliche Pflichten für Großunternehmen sollen kommen.

Berlin Die Bundesregierung hat es jetzt eilig: Rund zwei Jahre arbeitete das federführende Innenministerium am Entwurf des Zweiten IT-Sicherheitsgesetzes, nun soll es im Eilverfahren verabschiedet werden – trotz scharfer Kritik von Wirtschaft und Experten, die über mangelnde Möglichkeiten zur Mitsprache klagen.

Das Gesetzesvorhaben bringe viel Bürokratie mit sich, aber wenig Sicherheitsgewinn, bemängeln etwa BDI, der Automobilverband VDA und das Deutsche Verkehrsforum unisono. Sie fordern erhebliche Nachbesserungen an dem Entwurf.

Aber die Große Koalition scheint entschlossen, das Gesetz noch im ersten Quartal in Bundestag und Bundesrat zu verabschieden. Der Regierungsentwurf sei „eine gute Grundlage“, um das Gesetzgebungsverfahren zum Abschluss zu bringen, sagt der digitalpolitische Sprecher der Unionsfraktion, Tankred Schipanski.

Innenminister Horst Seehofer (CSU) hatte den Entwurf Ende November veröffentlicht. Zuvor hatten die beteiligten Ministerien verbissen über das Prüfverfahren verhandelt, das für Ausrüster der neuen 5G-Mobilfunknetze gelten soll – insbesondere chinesische Anbieter wie Huawei. Diese sollen kritische Komponenten künftig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen müssen und überdies eine Garantieerklärung abgeben, keine Hintertüren eingebaut zu haben.

Der Streit überdeckte andere Bestimmungen in den Gesetzesplänen, die aus Sicht der Industrie problematisch sind. So sollen nicht nur die Betreiber kritischer Infrastrukturen wie Strom-, Wasser- oder Telekommunikationsnetze, sondern auch Großunternehmen aus anderen Bereichen etliche Pflichten auferlegt werden.

Unternehmen „von erheblicher volkswirtschaftlicher Bedeutung“ sollen dem BSI gegenüber darlegen müssen, welche Maßnahmen sie zur Verbesserung ihrer IT-Sicherheit vorgesehen haben. Das Amt soll dann zusätzliche Maßnahmen für die Unternehmen anordnen können. Zudem sollen die Firmen verpflichtet werden, Cyberangriffe unverzüglich an das BSI zu melden.

Statt „überbordender Verpflichtungen für Unternehmen“, kritisiert Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, brauche es eine enge Kooperation zwischen dem Staat und den Firmen. Florian Eck, Geschäftsführer des Deutschen Verkehrsforums, rügte, das Vorhaben stehe „im Gegensatz zum politisch diskutierten Belastungsmoratorium“ für die Wirtschaft und bringe überdies keinen erkennbaren Sicherheitsgewinn.

Auch Manuel Atug, Sprecher der unabhängigen Expertengruppe „AG Kritis“, kritisiert umfangreiche Dokumentations- und Berichtspflichten durch das Gesetz. „Diese erhöhen nicht die Sicherheit, im Gegenteil: Sie halten die IT-Verantwortlichen davon ab, ihre eigentliche Arbeit zu machen.“

Industrie fordert mehr Unterstützung vom BSI

Die Industrie fordert im Gegenzug für die Pflichten mehr Unterstützung durch das BSI: Die Bonner Behörde solle zentrale Meldestelle für Cybersicherheitsvorfälle werden und die Unternehmen tagesaktuell über Angriffstaktiken informieren, forderte Plöger.

Für Befremden sorgt in der Wirtschaft eine weitere Bestimmung: Demnach soll das BSI die Anwender über Sicherheitslücken in IT-Systemen nur dann informieren müssen, wenn dem nicht „überwiegende Sicherheitsinteressen“ entgegenstehen.

Innenminister Seehofer wolle „das Wissen über Sicherheitslücken für die Sicherheitsbehörden bunkern“, kritisierte der FDP-Digitalpolitiker Manuel Höferlin. Auch Plöger warnt vor einer „offenen Flanke, die auch Cyberkriminelle ausnutzen können“. Experten befürchten, die ohnehin begrenzte Bereitschaft der Unternehmen zur Zusammenarbeit mit dem BSI werde weiter untergraben, wenn diese befürchten müssten, dass Informationen über Schwachstellen bei den Geheimdiensten landeten.

Für wenig zielführend halten die Kritiker ein weiteres Vorhaben des Gesetzes 2.0: die Einführung eines IT-Sicherheitskennzeichens für bestimmte Hard- und Softwareprodukte, das aber freiwillig sein soll. „Anstatt irgendeine statische Information an ein Produkt zu heften, braucht es Update- und Warnpflichten und eine entsprechende Haftung für grob fahrlässig herbeigeführte Schäden aufgrund veralteter Software“, fordert Höferlin. Experte Atug zieht ein ernüchterndes Fazit: „Ich kann in dem Gesetz keine Strategie erkennen, wie die IT-Sicherheit in Deutschland verbessert werden kann.“

Mehr: Regierung will offene Funknetze als Standard setzen

Startseite
Mehr zu: Gesetzespläne - Viel Bürokratie, wenig Sicherheitsgewinn: Verbände und Experten kritisieren IT-Sicherheitsgesetz
0 Kommentare zu "Gesetzespläne: Viel Bürokratie, wenig Sicherheitsgewinn: Verbände und Experten kritisieren IT-Sicherheitsgesetz"

Das Kommentieren dieses Artikels wurde deaktiviert.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%