Sanktionen im IT-Sicherheitsgesetz?

Den Kritischen Infrastrukturen werden in dem Gesetzesentwurf vom 25.02.2015 zur Erhöhung der Sicherheit informationstechnischer Systeme oder IT-Sicherheitsgesetz umfangreiche Pflichten, durch die Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik oder BSI-Gesetz, auferlegt.

Tatsächliche Folgen einer Meldung

Unter anderem besteht für die Betreiber einer Kritischen Infrastruktur eine Meldepflicht gegenüber dem Bundesamt bezüglich aufgedeckter Sicherheitsmängel (§§ 8a Abs. 3, 8b Abs. 4 BSIG-E). Das könnte eine Warnung der Öffentlichkeit sowie der Betroffenen zur Folge haben (§ 7 Abs. 1 BSIG-E) und Dritte könnten ihren Auskunftsanspruch bezüglich der gesammelten Informationen geltend machen (§ 8d BSIG-E). Dabei kann es sich durchaus um Sicherheitslücken handeln, die bereits behoben wurden. Mögliche zukünftige, sowie bestehende Kunden und Geschäftspartner könnten durch eine solche Warnung abgeschreckt werden. Ferner können dem Betreiber wegen der mangelnden Kontrolle über die Verbreitung und den Bestand der Warnung dauerhafte wettbewerbliche Nachteile entstehen. Sollten die Sicherheitslücken der Öffentlichkeit mitgeteilt werden, könnte diese Offenbarung zu neuen Cyberangriffen führen. Somit können die Betreiber Kritischer Infrastrukturen ein Interesse daran haben, dass diese Sicherheitsmängel nicht an die Öffentlichkeit gelangen.

Vor allem vor dem Hintergrund eines bereits behobenen Sicherheitsmangels und der dennoch möglichen eintretenden Folgen für die Betreiber von Kritischen Infrastrukturen stellt sich die Frage, inwieweit gegen eine Weigerung der Offenbarung von Sicherheitsmängeln nach dem geänderten BSIG vorgegangen werden kann. Der Gesetzesentwurf sieht in dem BSIG-E zu dieser Konstellation keinerlei Sanktionen vor.

Untersuchungsbefugnis des BSI

Allerdings hat das Bundesamt eine Untersuchungsbefugnis von auf dem Markt bereitgestellten oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme (§ 7a Abs. 1 BSIG-E) und darf die Erkenntnisse der Untersuchungen weitergeben und veröffentlichen (§ 7a Abs. 2 BSIG-E). Die Veröffentlichung und Weitergabe entspricht zwar keiner Warnung, jedoch können dadurch annähernd die gleichen negativen Folgen eintreten. Allerdings werden solche Untersuchungsberichte höchstwahrscheinlich nur vereinzelt von potentiellen und bestehenden Kunden sowie Geschäftspartner gelesen. Zusätzlich wird diesen Untersuchungsberichten eine geringere Bedeutung beigemessen als einer doch sehr abschreckenden Warnung. Durch den hohen Aufwand solcher Untersuchungen werden sicherlich einige Produkte und Systeme durch das Raster fallen und wegen der Beschränkung der Untersuchung auf einen bestimmten Kreis von Produkten und Systemen, sind von Anfang an einige ausgenommen. Demgemäß werden nicht die gesamten Systeme und Produkte vom Bundesamt untersucht und insbesondere bereits behobene Sicherheitsmängel nicht mehr erkannt. Folglich kann die Wahrscheinlichkeit, wirtschaftliche Nachteile zu erleiden geringer sein, soweit der Betreiber einer Kritischen Infrastruktur die Sicherheitsmängel nicht offenbart. Das hat jedoch auch zur Folge, dass höchstwahrscheinlich vereinzelt Betreiber ihrer Offenbarungspflicht nicht nachkommen werden.

Mangel an Sanktionsmöglichkeiten

Insgesamt besteht somit, wegen der fehlenden Sanktionen, die Gefahr der nicht Umsetzung der Vorgaben durch die Betreiber von Kritischen Infrastrukturen. Dem Gesetz mangelt es dadurch an einer Möglichkeit der Durchsetzung und die Ziele der Pflichten haben teilweise keinen Erfolg. Wegen des hohen Kosten- und Zeitaufwandes, der bei der Befolgung der Verpflichtungen entsteht, ist eine freiwillige Mitwirkung der Betreiber nur in geringem Maße zu erwarten.

 

UPDATE: Neues Video

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 9 Bewertung(en), durchschnittlich: 4,89 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen