IT-Sicherheitsgesetz: Unklare Meldepflichten

Das möchte zukünftig einen Weg schaffen, dass Sicherheitsvorfälle und Sicherheitsrisiken im Zusammenhang mit der Informationstechnologie auch aus staatlicher Sicht genauer wahrgenommen werden. Die wichtigen Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr sowie Finanz- und Versicherungswesen sollen zukünftig dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden.

Hier gab es in der Sachverständigenanhörung vor dem Innenausschuss des Deutschen Bundestages am 20.04.2015 durchaus . Der Blick des Gesetzes richtet sich auf die Fassung von Vorfällen in der Vergangenheit. Dies ist sicherlich ein wichtiger Teil, um das IT-Sicherheitsniveau in Deutschland zu erhöhen. Allerdings erscheint es langfristig sinnvoll, auch proaktiv auf IT-Sicherheitsvorfälle zu reagieren. Dies ist eine ungleich höhere Anforderung, ist aber aus anderen Lebensbereichen durchaus „normal“. Auch bei anderen technisch risikobehafteten Anlagen wird vorab überlegt, welche Risiken bestehen und wie proaktiv Störungen und Katastrophen vermieden werden können. An dieser Stelle ist das Gesetz mehr im Anfangsstadium.

Nach einer im Internet veröffentlichten Studie des Bundesverbandes der deutschen Industrie werden bereits 2014 die Kosten für die Einführung der nach dem IT-Sicherheitsgesetz geforderten auf über eine Milliarde Euro geschätzt. Zu Recht wird die Frage aufgeworfen, ob hier durch verstärkte zwar der Staat einen besseren Blick über IT-Gefährdungslagen erhält, letztendlich aber die Unternehmen keinen Nutzen dieser umfangreichen Investitionen haben.

In der Gesetzesbegründung wird darauf hingewiesen, dass dem BSI als Bundesoberbehörde ein für die neu vorgesehenen Aufgaben ein erheblicher Aufwand entsteht. Es ist geplant, circa 115 bis maximal 216,5 Planstellen mit Personalkosten von jährlich 8,95 bis maximal 15,867 Mio. Euro zu investieren, um behördlicherseits die Anforderungen umzusetzen.

Keine bei

Nach der derzeit vorliegenden Fassung sind keine direkten Sanktionsmöglichkeiten vorgesehen, wenn ein Unternehmen die vorgeschriebenen Meldepflichten nicht einhält. Ob dies wirklich die Wirksamkeit des Gesetzes einschränkt, ist abzuwarten. Allerdings ist auch vor dem Hintergrund der besonderen Stellung des BSI nicht zu erwarten, dass alle Betreiber kritischer Infrastrukturen freudestrahlend den Meldepflichten nachkommen. Das BSI entwickelt beispielsweise in Zusammenarbeit mit dem Bundesnachrichtendienst den Staatstrojaner und soll auf der anderen Seite über alle aktuellen Sicherheitslücken informiert werden. Hier ist organisatorisch klarzustellen, dass Informationen aus den Meldepflichten auf keinen Fall den Nachrichtendiensten übermittelt werden. In der Sachverständigenanhörung vor dem Innenausschuss wurde wiederholt gefordert, dass das BSI als eigenständige Behörde installiert wird und nicht mehr direkt dem Bundesinnenministerium unterstellt wird.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*