Neues IT-Sicherheitsgesetz

Cyberangriffe müssen gemeldet werden


© weerapat1003 - Fotolia.com News

Unternehmen in Deutschland sollen nach dem Willen der Bundesregierung Cyberangriffe künftig melden müssen - zumindest, wenn sie kritische Infrastrukturen betreiben. Ein aktueller Referentenentwurf des Bundesinnenministeriums sieht vor, dass Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen Hackerangriffe melden müssen. 

Den Wünschen der Wirtschaft wurde dabei allerdings sehr weitgehend Rechnung getragen - der erste Entwurf des damaligen Innenministers Hans-Peter Friedrich (CSU) sah noch deutlich strengere Meldepflichten vor. So sieht der neue Entwurf lediglich anonymisierte Meldungen an das Bundesamt für Informationssicherheit (BSI) vor, sofern beim Unternehmen noch kein Schadensfall eingetreten ist. 

Erst im Falle eines Schadens müssen Ross und Reiter genannt werden - allerdings nicht öffentlich, sondern nur gegenüber dem BSI. "Das wird nicht in der Bild-Zeitung stehen", sagte ein Sprecher des Bundesinnenministeriums. Der derzeitige Entwurf sei auch bereits mit dem Bundeswirtschaftsministerium abgestimmt. 

Ziel des Gesetzes ist, dass das BSI andere deutsche Unternehmen über aktuellen Cybergefahren zeitnah informieren kann, wodurch die Abwehr der Angriffe verbessert werden soll. Für das zur "nationalen Informationssicherheitsbehörde" aufgewertete BSI sieht der Gesetzesentwurf die Schaffung 133 neuer Planstellen vor. 

Der Branchenverband Bitkom, Lobbyverband der Digitalwirtschaft in Deutschland, bewertet den Entwurf positiv und geht von Kosten von rund 1,1 Milliarden Euro jährlich für die deutsche Wirtschaft aus. "Hinzu kommen Kosten für die Einhaltung von Mindeststandards bei der IT-Sicherheit und deren Überprüfung in einem mindestens dreistelligen Millionenbereich", sagte ein Sprecher des Verbands. Allerdings hänge das sehr stark davon, wie viele Unternehmen von dem Gesetz betroffen sind. "Das wird erst in einer Verordnung festgelegt", sagte der Sprecher weiter. 

Auch der Bankenverband zeigt sich zufrieden. "Der heute vom Bundesinnenministerium vorgelegte Entwurf geht in die richtige Richtung", erklärte Michael Kemmer, Hauptgeschäftsführer des Bankenverbandes, laut Pressemeldung. "Aufgrund der bereits vorhandenen hohen technischen Sicherheitsstandards dürften die Anpassungen im Kreditgewerbe daher auch überschaubar bleiben und sich vor allem auf das Meldewesen konzentrieren." 

Innenminister Thomas de Maizière (CDU) hatte zuvor in der Frankfurter Allgemeinen Zeitung als Ziel des neuen Gesetzentwurfes formuliert, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollten die sichersten der Welt werden. 

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.