Deutsches IT-Sicherheitsgesetz zeigt kaum Wirkung
Zum ersten Jubiläum des IT-Sicherheitsgesetzes ziehen Bundesregierung und Experten differenzierte Bilanzen. Während die Politiker das neue Gesetz nach einem Jahr trotz mangelnder Wirkung loben, sind IT-Experten eher enttäuscht.
Das IT-Gesetz verpflichtet Unternehmen in Deutschland zur Meldung von Cyberattacken an das Bundesamt für Sicherheit in der Informationstechnik (BSI) Dort sollen die Meldungen ausgewertet und entsprechende Gegenmaßnahmen geplant und durchgesetzt werden. Aufgrund der steigenden Cyberattacken erwartete das BSI für das erste Jahr zwischen 2.000 und 5.000 Anzeigen. In der Realität wurden nur sieben Cyberattacken gemeldet. Warum das neue Gesetz hinter den Erwartungen zurückbleibt, erklärt der IT Branchenverband mit einer sehr hohen „Dunkelziffer bei Cyberangriffen“ und der Auslegung bzw. Beschreibung der allgemeinen Meldepflicht für Unternehmen.
Gesetz erfüllt Erwartungen nicht: zu viele Fragen offen
Bereits bei der Veröffentlichung des neuen IT-Sicherheitsgesetzes fehlte es an entscheidenden Faktoren. IT-Experten kritisierten die fehlende Umsetzungsverordnung und unklare Definitionen. Die Meldepflicht sollte für Unternehmen gelten, die „kritische Infrastrukturen“ betreiben. Welche Branchen und Unternehmen die Verordnung genau betrifft, wurde in 2015 noch völlig offengelassen. Erst am 3. Mai 2016 ist eine Teilerklärung dazu in Kraft getreten. Eine weitere Verordnung für die Wirtschaftsbereiche Verkehr, Transport, Gesundheit und Finanzen wird erst für 2017 erwartet. Ist also der Misserfolg des neue Gesetzes von der Bundesregierung „hausgemacht“?
Anscheinend gibt es großen Diskussionsbedarf über die „kritischen Infrastrukturen“ in diesen Bereichen. Eine Erhöhung der Sicherheit an allen Geldautomaten und die Meldung von dortigen Phishingattacken würde die Automatenhersteller und Banken großen administrativen Aufwand und viel Geld kosten. Deshalb lehnen sowohl Hersteller von Geldautomaten als auch Finanzinstitute das IT-Sicherheitsgesetz vehement ab und bremsen die Diskussionen bereits im Vorfeld.
Zudem hat die Bundesregierung bei den Meldungen einen Kompromiss eingeräumt. Dieser gibt Unternehmen die Möglichkeit, Cyberattacken anonym zu melden, um Schäden wegen Reputationsverlust zu vermeiden. Zudem müssen nur reale Angriffe aber keine Sicherheitslücken gemeldet werden, wie IT-Experten einstimmig gefordert hatten.
Verwirrung bei Unternehmen
Die schwammigen Verordnungen, mangelnde Gesetzessicherheit und Lücken im Gesetz stiften Verwirrung bei den Unternehmen „kritischer Infrastrukturen“ und sorgen eher für Zurückhaltung als für Zuspruch. Zum Jahrestag des Gesetzes ist nur klar, dass schnell und vor allem effektiv nachgebessert werden muss, um diese kritische Infrastrukturen und auch die Verbraucher vor Cyberattacken zu schützen.