DVF: IT-Sicherheitsgesetz 2.0 birgt Gefahren
Das IT-Sicherheitsgesetz 2.0 birgt für die Betreiber kritischer Infrastrukturen erhebliche Gefahren, erklärt das Deutsche Verkehrsforum (DVF).
Die Neufassung des Gesetzes hat Bundesinnenminister Horst Seehofer (CSU) vorgelegt und die Bundesregierung daraufhin das IT-Sicherheitsgesetzes 2.0 beschlossen. Was Seehofer als „Durchbruch für Deutschlands Sicherheit“ feiert, hatte den Branchenverbänden bereits im Vorfeld sauer aufgestoßen. Denn schon die Art und Weise, wie das BMI die betroffenen Wirtschaftsverbände eingebunden hat, stößt auf Kritik. Diese hatten gerade mal einen Tag, um sich den Entwurf durchzulesen und zugleich darauf zu reagieren.
Überproportionale Strafzahlungen drohen
Dabei birgt das IT-Sicherheitsgesetz 2.0 einige Veränderungen mit sich, die für die Betreiber kritischer Infrastrukturen durchaus prekär werden könnten. Allem voran das nach Ansicht des DVF „extrem unverhältnismäßige Sanktionsmaß“: In der vorliegenden Formulierung werde der Anwendungsbereich des IT-Sicherheitsgesetzes auf einen Großteil der deutschen Wirtschaft ausgedehnt, ohne die Betroffenen zu benennen. Gleichzeitig würden Unternehmen, die in den Anwendungsbereich des Gesetzes fallen, mit überproportionalen Strafzahlungen konfrontiert. „Der in den Bußgeldvorschriften neu eingeführte Verweis auf das Ordnungswidrigkeitengesetz, der zu einer Erhöhung um das 200-Fache des jetzigen Sanktionsmaßes führen kann, muss gestrichen werden“, fordert das DVF.
BMI hat Experten-Vorschläge ignoriert
Auf Kritik stößt zudem der Umstand, dass Experten-Vorschläge des sogenannten UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen, schlicht ignoriert worden seien. Eigentlich hätte es dort zu einem kontinuierlichen Austausch kommen sollen. „Es findet jedoch kein Austausch statt. Vielmehr arbeiten die IT-Experten der 14 beteiligten Branchen den staatlichen Stellen zu, ohne dass die gemeinsamen Vorschläge von Wirtschaft und Verwaltung Gehör finden. Damit steht der kooperative Ansatz von UP KRITIS auf der Kippe“, heißt es seitens des DVF.
Zu kurze Frist und zu hohe Kostenrisiken
Negativ stößt dem DVF darüber hinaus auf, dass für die grundsätzliche Einführung von Systemen zur Angriffserkennung eine Übergangsfrist von mindestens zwei Jahren notwendig sei. Auch ist der finanzielle und personelle Aufwand, der mit der Forderung nach Systemen zur Angriffserkennung einhergeht, beträchtlich und für die allermeisten KRITIS-Betreiber nicht leistbar.
BSI darf keine Infos vorenthalten
Die Informationspflichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) an die Betreiber kritischer Infrastrukturen wurden zwar konkretisiert. Die Weitergabe von Erkenntnissen über Schwachstellen, Sicherheitslücken und weiteren Sicherheitsrisiken sollten allerdings unverzüglich, verpflichtend und unabhängig von weiteren Sicherheitsinteressen durch das BSI erfolgen, heißt es wiederum ein einer ersten Stellungnahme des UP KRITIS. Bislang sieht das IT-Sicherheitsgesetz 2.0 nämlich vor, dass das BSI sich vorbehält, Informationen zurückzuhalten, wenn dem „überwiegende Sicherheitsinteressen“ entgegenstehen. Was das genau bedeutet, bleibt jedoch unklar.
BSI bekommt mehr Befugnisse und Mitarbeiter
Immerhin soll das BSI 41 neue Stellen bekommen. Das dürfte in der Praxis durchaus entscheidend sein, geht es doch um schnelle Eingreiftruppen bei Cyberangriffen. Schließlich stellen Cyberangriffe ein großes Gefahrenpotenzial dar, was bereits zahlreiche Vorfälle auf Logistiker in der Vergangenheit verdeutlicht haben.