19.03.2015

eco: IT-Sicherheit lässt sich nicht per Gesetz anordnen

  • Ungleiche Belastung der Branchen verhindert einheitliches Schutzniveau
  • Bürokratische Meldepflichten ohne Mehrwert für Unternehmen und Kunden
  • Einigung auf europäischer Ebene abwarten

Der Deutsche Bundestag berät morgen zum ersten Mal über den Kabinettsentwurf für ein IT-Sicherheitsgesetz, den die Bundesregierung am 17. Dezember 2014 vorgelegt hat. eco – Verband der deutschen Internetwirtschaft e.V. kritisiert die ungleiche Belastung der Branchen, die durch den aktuellen Entwurf noch verstärkt werde. Der Verband fordert, bisher nicht regulierte Branchen im Bereich der Betreiber kritischer Infrastrukturen stärker in die Pflicht zu nehmen und enthaltene Regelungen für Telemediendienstanbieter auszuklammern. Ein weiterer Kritikpunkt betrifft die geplanten Meldepflichten gegenüber dem BSI. Die im Gesetzesentwurf vorgesehene starren und bürokratischen Informationspflichten lehnt die Internetwirtschaft als ineffektiv und wenig praxistauglich ab.
„IT-Sicherheit lässt sich nicht gesetzlich anordnen. Viel wichtiger ist es, das Bewusstsein für IT-Sicherheit in allen Teilen der Wirtschaft und der Gesellschaft insgesamt zu stärken. Der vorliegende Gesetzesentwurf setzt hier aus unserer Sicht die falschen Schwerpunkte. Wir fordern einen stärkeren Fokus auf die kritischen Infrastrukturen und deren Betreiber“, sagt eco Vorstand Politik & Recht Oliver Süme.

Ungleiche Belastung der Branchen verhindert einheitliches Schutzniveau

Anstatt endlich ein einheitliches Schutzniveau für alle kritischen Infrastrukturbereiche zu schaffen, sieht die Gesetzesvorlage auch weitere Belastungen der bereits stark regulierten Internet- und Telekommunikationsunternehmen vor, die sogar über die Verpflichtungen für Betreiber kritischer Infrastrukturen hinausgehen. eco kritisiert in diesem Zusammenhang besonders die geplante Herabsenkung der Meldeschwelle für die bereits bestehende Meldepflicht als unbegründet und  zu weit gehend. Als systematisch verfehlt bewertet eco außerdem die vorgesehenen Regelungen für Telemediendienstanbieter. Zwar ist es sinnvoll die IT-Sicherheit von Telemediendienstanbietern zu verbessern, diese passen aber nicht in den Fokus des Gesetzes und die besondere Bedrohungslage bei den Betreiber kritischen Infrastrukturen. Besonders der extrem weit gefasste Adressatenkreis im vorliegenden Entwurf ist problematisch, da er auch Blogs und Social Media Accounts umfasst. Ein beträchtlicher Teil der Betroffenen wäre weder technisch noch organisatorisch überhaupt in der Lage, die geforderten Verpflichtungen umzusetzen.

Bürokratische Meldepflichten ohne Mehrwert für Unternehmen und Kunden

Grundsätzlich in Frage stellt eco den Sinn und Zweck von Meldepflichten. „Aus unserer Sicht stellen diese Meldepflichten die größte wirtschaftliche Belastung dar, da sie aufwändige Prozesse und Einrichtungen voraussetzen, die keinen direkten Bezug zur Verbesserung der IT-Sicherheit haben und damit auch keinen erkennbaren Mehrwert für die Unternehmen und ihre Kunden“, erklärt Oliver Süme. Beim im Interesse des Bundes liegenden „Lagebild“ setze man eher auf freiwillige Meldungen im Rahmen des bereits gut funktionierenden bestehenden Informationsaustauschs.

Einigung auf europäischer Ebene abwarten

Offene Fragen sieht eco nach wie vor im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk und Informationssicherheit (NIS-Richtlinie). „Ein nationales „Vorpreschen“ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt“, so Süme. Erste Tendenzen dazu seien bereits erkennbar. Außer Deutschland planen derzeit Österreich, Finnland, Belgien und Großbritannien eigene IT-Sicherheitsgesetze. Die Umsetzung ist unterschiedlich weit fortgeschritten. Großen Harmonisierungsbedarf sieht Süme vor allem bei der Definition des Adressatenkreises und dem Begriff der kritischen Infrastrukturen. „Wie schwierig es ist, verschiedenartigste, nationale Vorschriften im Nachhinein auf ein einheitliches Niveau zu bringen, sehen wir aktuell in der Diskussion um die Datenschutz-Grundverordnung. Daher sollte zunächst eine Einigung auf europäischer Ebene abgewartet werden, um auf dieser Grundlage verlässliche und nachhaltige gesetzliche Grundlagen zu schaffen.“

Lesen Sie die vollständige Bewertung des Kabinettsentwurfs zum IT-Sicherheitsgesetz in dem eco Positionspapier.