Compliance

Lässt sich IT-Sicherheit per Gesetz vorschreiben?

| Autor / Redakteur: Lutz Kolmey* / Stephan Augsten

Zwei Jahre lang haben Unternehmen wie beispielsweise Telekommunikationsanbieter Zeit, ihre IT-Sicherheit an bestehenden Standards auszurichten.
Zwei Jahre lang haben Unternehmen wie beispielsweise Telekommunikationsanbieter Zeit, ihre IT-Sicherheit an bestehenden Standards auszurichten. (Bild: Archiv)

Das IT-Sicherheitsgesetz kommt. Zwei Jahre nach dem ersten Entwurf des Bundesinnenministeriums wurde das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Dienste“ durch die große Koalition verabschiedet. Vor allem auf Betreiber sogenannter Kritischer Infrastrukturen kommen nun einige Pflichten zu.

Lutz Kolmey: „Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.“
Lutz Kolmey: „Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.“ (Bild: mod IT Services)

Die IT-Sicherheitslage in Deutschland sei weiterhin angespannt, heißt es im Gesetzentwurf (Drucksache 18/4096, IT-Sicherheitsgesetz). Dieser beruft sich dabei auf Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Cyber-Angriffe würden in hoher Zahl stattfinden, wären zunehmend zielgerichtet, technologisch ausgereifter und komplexer.

Das Gesetz soll die IT-Sicherheit in Deutschland verbessern und erntete in der Vergangenheit trotz dieses hehren Zieles viel Kritik. Fünf Jahre zu spät und nicht weitreichend genug, beanstandete die Opposition, konnte den Beschluss aber nicht mehr verhindern.

Das Ziel des IT-Sicherheitsgesetzes klingt weitreichend: Es soll die IT-Sicherheit in Unternehmen, den Schutz der Bürgerinnen und Bürger im Internet und das BSI sowie das Bundeskriminalamt (BKA) stärken. Dennoch konzentrieren sich die Regelungen auf die Betreiber Kritischer Infrastrukturen (Kritis) wie z. B. Energieversorger und Telekommunikationsanbieter.

Was steckt im IT-Sicherheitsgesetz? Und was nicht?

Kurzum: Vor allem Betreiber von Infrastrukturen, von denen das Funktionieren unserer Gesellschaft in besonderem Maße abhängt, müssen ab sofort mehr für ihre IT-Sicherheit tun. Das IT-Sicherheitsgesetz verpflichtet sie dazu, „ein Mindestniveau an IT-Sicherheit einzuhalten und dem BSI IT-Sicherheitsvorfälle zu melden“.

Zwei Jahre bleiben den Betreibern kritischer Infrastrukturen nun noch Zeit, organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Mit Störungen meint der Gesetzgeber jeden negativen Einfluss auf die Verfügbarkeit, die Integrität, die Authentizität und die Vertraulichkeit der IT-Systeme und Daten.

Ergänzendes zum Thema
 
Wobei mod IT helfen kann

In regelmäßigen Sicherheitsaudits muss das IT-Sicherheitsniveau nachgewiesen werden. Darüber hinaus sind die Unternehmen nun verpflichtet, Störfälle an das BSI zu melden und eine sogenannte Kontaktstelle einzurichten. Die Informationen laufen schließlich beim BSI zusammen, werden dort ausgewertet und den Betreibern wieder zur Verfügung gestellt.

Dass für die Einrichtung neuer Prozesse, für neue Technik und einen Mitarbeiter als Ansprechpartner Kosten entstehen, wird in der Erläuterung zum Gesetzentwurf lapidar so angekündigt: „Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist.“ Der anfallende Aufwand könne im Vorfeld jedoch nicht quantifiziert werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43472199 / Compliance und Datenschutz )