Es gibt Sicherheitsgesetze, die würde auch in der Wirtschaft heute niemand mehr in Frage stellen. Das Lebensmittelrecht sorgt dafür, dass nur noch ganz selten Gammelfleisch in den Regalen der Supermärkte liegt. Und im Verkehrsrecht stellen dezidierte Regularien sicher, dass heute keine Rostlauben mehr auf den Straßen fahren und andere Autofahrer gefährden. Im Internet gibt es solch umfassende Regelwerke bisher nicht.
Im immer wichtiger werdenden Nervensystem von Wirtschaft und Gesellschaft kann im Prinzip jeder machen, was er will – mit dramatischen Folgen für die Sicherheit der Nutzer. Die vielen Schwachstellen und Unvollkommenheiten in den IT-Systemen sind verantwortlich dafür, dass Geheimdienste, Hacker und gut organisierte kriminelle Banden eine virtuelle Schattenwelt aufbauen und durch Datendiebstahl und Sabotageakte Schäden in Milliardenhöhe verursachen.
Welche Sicherheitsmaßnahmen die Unternehmen verstärken
66 Prozent Organisatorische Verbesserungen (z. B. Zugriffskontrollen)
35 Prozent Firewall eingeführt/erneuert.
43 Prozent Virenscanner eingeführt / erneuert.
33 Prozent Schulungen zur IT-Sicherheit.
3 Prozent Standardisierungen/Zertifizierungen.
2 Prozent Früherkennungssysteme einsetzen.
0 Prozent Einstellung zusätzlicher IT-Sicherheitsexperten.
Die Bundesregierung will solche Wildwest-Methoden nicht länger tolerieren. Als erstes Maßnahmenpaket aus der kürzlich verabschiedeten Digitalen Agenda beschloss heute das Bundeskabinett den seit langem diskutierten Entwurf eines IT-Sicherheitsgesetzes.
Vorrangiges Ziel: Mindeststandards für die Betreiber kritischer Infrastrukturen und anderer lebenswichtiger Funktionen des Gemeinwesens. Darunter fällt zum Beispiel eine Meldepflichte für Cyberangriffe in den betroffenen Unternehmen.
Der vom Kabinett in Berlin beschlossene Entwurf unterscheidet sich in einigen Punkten deutlich von den ursprünglichen Plänen aus dem Haus von Bundesinnenminister Thomas de Maizière. Wie bereits bekannt wurde, entfällt zum Beispiel die umstrittene Dauerspeicherung von Nutzerdaten durch Telemediendienste.
Gesetz ist in der Wirtschaft umstritten
De Maizière will verhindern, dass Hacker in die Energie- und Telekommunikationsnetze eindringen und durch Sabotageakte die gesamte Republik lahmlegen. In der inzwischen völlig vernetzten Gesellschaft würde solch ein Blackout das gesamte Wirtschafts- und Gesellschaftsleben von einer Sekunde zur anderen zum Stillstand bringen.
„Die IT-Sicherheitslage ist weiterhin angespannt“, sagte de Maizière bei der Präsentation des neuen Gesetzentwurfes. „Die Angriffe erfolgen zunehmend zielgerichteter und sind technologisch immer ausgereifter und komplexer.“
Ob das Gesetz zur Entspannung der Lage beiträgt, ist in der Wirtschaft höchst umstritten. Insbesondere der Bundesverband der Deutschen Industrie (BDI) und der IT-Dachverband Bitkom protestierten im Vorfeld lautstark gegen die im IT-Sicherheitsgesetz vorgesehene Meldepflicht bei Cyberangriffen.
Eine von den Verbänden im Auftrag gegebene Studie bei der Wirtschaftsprüfungsgesellschaft KPMG ermittelte Bürokratiekosten in Höhe von 1,1 Milliarden Euro, die pro Jahr auf die Betreiber kritischer Infrastrukturen zukommen. Die Autoren der KPMG-Studie schätzen, dass nach Inkrafttreten des Gesetzes im Sommer nächsten Jahres 2,3 Millionen Sicherheitsvorfälle pro Jahr an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
