JUVE: Die Bundesregierung hat im Dezember den Entwurf für ein IT-Sicherheitsgesetz verabschiedet. Worum geht es im Kern?
Jan Meents: Das IT-Sicherheitsgesetz gehört zur digitalen Agenda der Bundesregierung. Es ist ein Rahmenwerk insbesondere zur Bekämpfung von Angriffen auf kritische Infrastruktursysteme. Unternehmen und Bürger sollen damit vor digitalen Angriffen, die uns alle bedrohen, geschützt sein. Das Gesetz sorgt zum einen dafür, dass Unternehmen ihre IT-Sicherheit auf dem Stand der Technik halten. Zum anderen führt es eine Meldepflicht für die Unternehmen ein, die es in der Form bisher noch nicht gab.
Rund 2.000 Unternehmen werden als Betreiber kritischer Infrastrukturen unter das Gesetz fallen. Welche Branchen sind vor allem betroffen?
Es sind die Unternehmen, die – so heißt es im Gesetzentwurf – für das Funktionieren unseres Gemeinwesens zentral sind. Ihr Ausfall würde mindestens zu Versorgungsengpässen führen, schlimmstenfalls die öffentliche Sicherheit gefährden. Dazu zählen Unternehmen der Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
Welche Auflagen sieht das Gesetz für die Unternehmen vor?
Zum einen müssen sie ihre IT-Sicherheit auf dem Stand der Technik halten. Bis dato war das eher in den Haftungsfragen miteingebunden, aber nicht explizit festgelegt. Und hier setzt ein wesentlicher Kritikpunkt an. Denn die neueste Technik ist nicht immer auch erprobt. Und was genau bedeutet der aktuelle Stand der Technik? Wer legt diesen überhaupt fest? Zum anderen führt das Gesetz Meldepflichten gegenüber den zuständigen Behörden bei erheblichen Sicherheitsvorfällen ein. Unternehmen müssen intern die erforderlichen Strukturen implementieren und Ressourcen bereitstellen.
Und wer legt den aktuellen Technikstand fest?
Der Gesetzentwurf sieht vor, dass Betreiber und ihre Branchenverbände branchenspezifische Sicherheitsstandards zur Gewährleistung eines Mindestniveaus an IT-Sicherheit vorschlagen können. Ich halte das für sehr richtig.
Welche Kosten kommen auf die Unternehmen mit dem neuen Gesetz zu?
Die Kosten seriös zu beziffern, ist nahezu unmöglich. Den Löwenanteil werden die Kosten für die Einrichtung der Technik ausmachen. Hinzu kommen die Kosten, die im Zusammenhang mit Sicherheitsmeldungen entstehen. Im Moment rechnet man mit sieben Meldungen pro Unternehmen im Jahr. Jede Meldung würde ungefähr mit 660 Euro zu Buche schlagen. Zudem wird die Unternehmensverwaltung mit Empfang und Auswertung der Sicherheitsmeldungen einen Mehraufwand zu leisten haben.
Unternehmen melden einen Angriff auf ihre IT-Sicherheit anonym. Warum ist das von Vorteil?
Es geht schließlich nicht darum, einzelne Unternehmen an den digitalen Pranger zu stellen. Wenn Sicherheitsprobleme an die Öffentlichkeit gelangen, kann das für die Betroffenen einen immensen Reputationsschaden bedeuten. Melden die Unternehmen einen digitalen Einbruch aber anonym, kann die zuständige Behörde die Bürger umfassend informieren, ohne dass der Unternehmensname irgendwo auftaucht.
Das Gespräch führte Eva Flick
