IT-Sicherheitsgesetz: Wirtschaft hat ihre Zweifel abgelegt

IT-Sicherheitsgesetz: Wirtschaft hat ihre Zweifel abgelegt

Bild vergrößern

Nach einem Jahr IT-Sicherheitsgesetz sind viele Zweifel ausgeräumt.

Mit dem IT-Sicherheitsgesetz nimmt Deutschland in Europa im Kampf gegen Cyberangriffe eine Vorreiterrolle ein. Das Inkrafttreten des Gesetzes jährt sich nun in dieser Woche. Zeit für eine Zwischenbilanz.

Ein potenzieller Cyberangriff auf die Wasserversorgung, das Stromnetz oder die Kommunikationsnetze kann eine Gesellschaft empfindlich treffen. Als einen Baustein für den Schutz dagegen hat die Bundesregierung vor einem Jahr das IT-Sicherheitsgesetz auf den Weg gebracht. Nach anfänglicher Skepsis stößt es in der Wirtschaft inzwischen auf positive Resonanz. Viele Zweifel zur Machbarkeit sind ausgeräumt.

Das seit dem 25. Juli 2015 geltende Gesetz verpflichtet Betreiber kritischer Infrastrukturen wie Energie-Lieferanten, Telekom-Unternehmen oder Wasserbetriebe, ihre IT-Systeme angemessen zu sichern. Außerdem sieht es eine Meldepflicht bei schwereren Vorkommnissen vor. Die Realisierung komme erst langsam ins Rollen, sagte Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Anlaufstelle bei solchen Vorfällen.

Anzeige

Die ersten Entwürfe hätten damals noch für viel Bauchschmerzen gesorgt, erinnert sich Felix Esser vom Bundesverband der Deutschen Industrie. Die jetzige Ausgestaltung des Gesetzes sei aber begrüßenswert. „Wir sind überwiegend zufrieden.“ Das Innenministerium sei auf die Bedürfnisse der Unternehmen eingegangen.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

  • Gesamt

    Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.

    Quelle: Bitkom/Statista

    Stand: 2015

  • Platz 5

    Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.

  • Platz 4

    58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.

  • Platz 3

    Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.

  • Platz 2

    Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.

  • Platz 1

    Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.

Auf Kritik war etwa gestoßen, dass nach Inkrafttreten des Gesetzes über Monate hinweg unklar war, wer überhaupt zu den Betreibern von kritischen Infrastrukturen (Kritis) zählt und welche Kosten auf die Unternehmen zukommen. Eine am 3. Mai in Kraft getretene Verordnung konkretisiert nun die Vorgaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.

Meldepflicht sorgte für Bauchschmerzen

War zuvor noch von 18.000 Kritis-Unternehmen die Rede, geht das Innenministerium inzwischen von 2000 betroffenen Anlagen aus, die Zahl der Betreiber dürfte deutlich darunter liegen. „Es hat einen guten und konstruktiven Dialog zwischen Staat und Wirtschaft gegeben“, lobt Marc Fliehe vom Digitalverband Bitkom. Die Expertisen der Unternehmen seien in die Ausgestaltung des Gesetzes eingeflossen.

Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. „Die Technologie ändert sich ja ständig“, sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.

“Datenklau 2015” - Die Ergebnisse im Überblick

  • Über die Studie

    Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.

    Quelle: Ernst & Young - Datenklau 2015

  • Wer angegriffen wurde

    Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz)  erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.

  • Welche Branche im Visier der Hacker ist

    Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.

  • Wer die Hacker sind

    In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.

  • Vor welchen Hackern deutsche Manager Angst haben

    Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.

  • Die Motive für den Angriff

    Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.

  • Wo die Angreifer Schaden anrichten

    In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).

Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.

Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können.

Doppelbelastungen für Unternehmen ausräumen

Viele Unternehmen befürchteten eigenen wirtschaftlichen Schaden oder Imageverlust, wenn sie einen Vorfall öffentlich melden müssen. Die Behörden seien auf die Ängste eingegangen, sagte Fliehe. Inzwischen hätten das BSI und das Innenministerium konkrete Wege erarbeitet, über welche Kanäle kommuniziert werden muss. Große Vorbehalte gebe es heute nicht mehr - auch weil das BSI die Möglichkeit vorhalte, Vorfälle unter bestimmten Umständen anonym zu melden.

Auch wenn die Realisierung bis heute erfolgreich verlief, blieben jedoch Fragen offen, sagte Esser. Im zweiten Korb kommen im ersten Quartal 2017 die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit hinzu. Hier müsse darauf geachtet werden, dass man Doppelregelungen vermeidet. So dürfe es nicht sein, dass ein Sicherheitsvorfall bei einem Transport von Medikamenten etwa mit der Bahn an mehrere Behörden gemeldet werden müsse, weil er unter die Sektoren Logistik und Gesundheit falle. Eine weitere Herausforderung liege in der Harmonisierung mit dem neuen Cybersicherheitsgesetz auf EU-Ebene (NIS), das seit rund einem halben Jahr gilt, sagte Esser. Unterschiedliche nationale Umsetzungen könnten verschiedene Sicherheitsanforderungen hervorbringen. „Hier müssten Doppelbelastungen für Unternehmen vermieden werden.“

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%