Gesetz zur IT-Sicherheit: Kritik und Forderungen
Stand: 20.04.2015
Bildquelle: ©Adobe Stock / Text: AFP
Berlin - IT-Experten und Wirtschaft kritisieren das geplante IT-Sicherheitsgesetz. Keiner der vorgesehenen Schritte sei für eine sinnvolle Verbesserung geeignet.
Der Chaos Computer Club (CCC) hat dem geplanten IT-Sicherheitsgesetz zum Schutz wichtiger Infrastrukturen vor Internetkriminellen ein vernichtendes Zeugnis ausgestellt. "Keiner der in diesem Gesetzentwurf vorgesehenen Schritte ist geeignet, zu einer sinnvollen Erhöhung der IT-Sicherheit in Deutschland beizutragen", heißt es in einer Stellungnahme des CCC-Experten Linus Neumann für eine öffentliche Anhörung des Bundestags-Innenausschusses am Montag. Die Firmen in den fraglichen Branchen müssten "incentiviert oder gezwungen werden", Schwachstellen ihrer IT sowohl nachträglich zu beheben als auch aktiv zu suchen und zu beseitigen. Dies sehe der Entwurf aber nicht vor.
Bürokratisierung statt Erhöhung der Sicherheit
Neumann kritisierte zugleich, dass der Gesetzentwurf den betroffenen Unternehmen neue Auskunfts-, Dokumentations- und Berichtspflichten auferlege. "Eine weitere Bürokratisierung der IT-Sicherheit geht zulasten dringend notwendiger proaktiver Maßnahmen zur effektiven Erhöhung der IT-Sicherheit", schrieb er.
Daneben beklagte der CCC-Experte, dass es in dem Gesetzentwurf vor allem um die Vermeidung eines Systemausfalls in den fraglichen Branchen gehe. "Gezielte Maßnahmen zum Schutz der Endnutzer werden nicht verlangt." Obwohl Privatnutzer die häufigsten Opfer von Angriffen auf informationsverarbeitende Systeme seien, finde sich im Gesetzentwurf "weder eine Initiative noch eine Absichtserklärung zur Änderung dieser Situation".
Wirtschaftsverband kritisiert Entwurf ebenfalls
Auch aus der Wirtschaft kam Kritik an dem Entwurf aus dem Bundesinnenministerium. So bemängelte der Bundesverband der Deutschen Industrie (BDI) in seiner Stellungnahme für den Ausschuss, dass die Zuordnung von Branchen zur sogenannten kritischen Infrastruktur nicht im Gesetz selbst, sondern in einer Rechtsverordnung vorgenommen werden soll. Er kritisierte zudem, dass zu sicherheitsrelevanten Vorfällen lediglich eine Meldepflicht für Unternehmen gegenüber Behörden vorgesehen sei. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) müsse aber auch "Informationen über Bedrohungen zeitnah, aktuell und praxisorientiert an Unternehmen zurückgeben".
Der Deutsche Industrie- und Handelskammertag (DIHK) beklagte ebenfalls, der Begriff der "kritischen Infrastruktur" werde ebenso wie weitere wichtige Begriffe in dem Gesetzentwurf nicht definiert. Die vorgesehenen Meldepflichten führten zu "erheblichen Aufwänden" für die Firmen "bei nicht einschätzbarem Nutzen". Auch der DIHK forderte eine klarere Bestimmung der Rolle des BSI bei der Weitergabe von Informationen an die Unternehmen.