Zur Navigation springen Zum Inhalt springen Zum Footer springen
Teilen

E-Mail

Facebook

Twitter

LinkedIn

Xing

Link

Ziel des IT-Sicherheitsgesetzes

Gut die Hälfte (51 %) aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Das hat eine Studie des Verbandes BITKOM ergeben. Es waren Geschäftsführer und Sicherheitsverantwortliche von 1.074 Unternehmen befragt worden. Der am stärksten gefährdete Wirtschaftszweig ist die Automobilindustrie mit 68 %.

Der entstandene Schaden für die deutsche Wirtschaft wird auf rund 51 Milliarden Euro pro Jahr geschätzt. Dabei ist der Mittelstand mit 61 % von Sabotageakten betroffen.

Auch die täglichen Nachrichten, zuletzt auch der Hackerangriff auf den Deutschen Bundestag und dessen IT-Infrastruktur machen deutlich, welcher Gefährdung informationstechnische Systeme mittlerweile ausgesetzt sind.

Auf der anderen Seite sieht der Gesetzgeber deutlich, dass mehr als die Hälfte aller Unternehmen in Deutschland vom Internet abhängig ist. Der Gesetzgeber weist in seiner Begründung darauf hin, dass nahezu in allen Lebensbereichen die Digitalisierung stark zunimmt und die Abhängigkeit von IT-Systemen in wirtschaftlichen, gesellschaftlichen und individuellen Bereich wächst. Daher gewinnt die Verfügbarkeit und die Sicherheit von IT-Systemen sowie des Internets zunehmend an Bedeutung.

Der Gesetzgeber hat wahrgenommen, dass die IT-Sicherheitslage in Deutschland angespannt ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält schon nach der bisherigen Rechtslage eine Vielzahl von Informationen zu aktuellen digitalen Bedrohungen. Solche Informationen werden beispielsweise durch das IT-Lagezentrum und in dem 2011 gegründeten Cyberabwehr-Zentrum gesammelt. Weiterhin stellt der Gesetzgeber fest, dass die Angriffe zunehmend zielgerichteter und technologisch ausgereifter sowie komplexer werden.

Vor dem Hintergrund dieser digitalen Gesamtsituation sah sich der Gesetzgeber veranlasst, eine Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland voranzutreiben. Ziel des Gesetzes ist es, aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Weiterhin soll die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung des BSI und des Bundeskriminalamtes (BKA) veranlasst werden.

Einen besonderen, aber nicht ausschließlichen Fokus richtet das Gesetz auf die sogenannten „Kritischen Infrastrukturen“ (KRITIS). Gerade der Schutz der IT-Systeme von Kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist aus Sicht der Bundesregierung von größter Wichtigkeit. Dabei ist vor Verabschiedung des IT-Sicherheitsgesetzes festzustellen, dass das Sicherheitsniveau der informationstechnischen Systeme bei Kritischen Infrastrukturen aktuell sehr unterschiedlich ist. Während einige Branchen und Bereiche ein weitreichendes Risikomanagement und übergreifende Sicherheitssysteme betreiben und auch Audits durchführen, sind andere Infrastrukturbereiche in dieser Beziehung noch wenig oder nur in geringem Umfang entwickelt. Durch die zunehmende Vernetzung hält der Gesetzgeber aber solche unterschiedlichen Sicherheitsniveaus für gefährlich und möchte insoweit durch das neue Gesetz Sicherheitsvorkehrungen treffen.

Mit dem neuen Gesetz soll ein Mindestniveau an IT-Sicherheit von den Unternehmen einzuhalten sein, die Betreiber Kritischer Infrastrukturen sind. Weiterhin sollen dem BSI IT-Sicherheitsvorfälle zukünftig gemeldet werden, damit die dann zusammenlaufenden Informationen ausgewertet werden können. Im Gegenzug möchte dann das BSI den Betreibern Kritischer Infrastrukturen Hilfestellung geben, um den Schutz ihrer Infrastrukturen zu verbessern. Dazu sollen die eingegangenen Meldungen den Betreibern möglichst umgehend zur Verfügung gestellt werden. Daneben möchte der Gesetzgeber die Beratungsfunktion des BSI stärken und insgesamt das Know-how zum Thema IT-Sicherheit fördern.

Das Gesetz ist ein Artikelgesetz und ändert nicht nur die Vorschriften des BSI-Gesetzes, sondern auch des Telemediengesetzes und des Telekommunikationsgesetzes. Dadurch soll der Schutz der Bürgerinnen und Bürger verbessert werden. Hier sieht die Bundesregierung die Telekommunikationsanbieter in einer Schlüsselrolle. Zukünftig soll nicht nur der Schutz des Fernmeldegeheimnisses und der Schutz personenbezogener Daten im Vordergrund stehen, sondern auch die IT-Sicherheit soll nach dem Stand der Technik gewährleistet werden. Die Bundesnetzagentur soll IT-Sicherheitskonzepte der Telekommunikationsanbieter regelmäßig überprüfen. So sollen Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit datenverarbeitender Systeme gesichert werden, dies langfristig.

In den gesetzlichen Änderungen sollen auch die Hersteller verpflichtet werden, einen verstärkten Schwerpunkt auf die IT-Sicherheit zu setzen.

Bei den gesetzgeberischen Maßnahmen wird von folgendem Bild ausgegangen:

Nach Auffassung des Gesetzgebers könnte eine Vielzahl von IT-Angriffen bereits durch die Umsetzung von Standardmaßnahmen abgewehrt werden. Dazu ist eine verstärkte Sensibilisierung der Nutzer notwendig. Hier sieht zukünftig das BSI in der Aufklärung der Öffentlichkeit einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit.


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Newsletter

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.