Suchen

Datensicherheit Wie sich das IT-Sicherheitsgesetz zielorientiert umsetzen lässt

| Autor/ Redakteur: Claudia Otto / Dipl.-Medienwirt (FH) Matthias Back

Im März vergangenen Jahres hat das Bundesministerium des Inneren (BMI) den Entwurf eines IT-Sicherheitsgesetzes vorgestellt. Über die Auswirkungen für potenziell betroffene Unternehmen wird bis heute debattiert. Eine aktuelle Studie gibt Handlungsempfehlungen für eine zielorientierte Umsetzung des Gesetzes.

Firmen zum Thema

Da der Staat der größte Betreiber kritischer Infrastrukturen ist, sollten Meldepflichten und Sicherheitsstandards auch für staatliche Stellen gelten.
Da der Staat der größte Betreiber kritischer Infrastrukturen ist, sollten Meldepflichten und Sicherheitsstandards auch für staatliche Stellen gelten.
( © Giso Bammel - Fotolia)

In Kürze wird ein neuer Entwurf des BMI zum IT-Sicherheitsgestz erwartet. Der erste Entwurf aus dem Jahr 2013 ist nicht verabschiedet worden. Zu den wesentlichen Regelungsinhalten des Entwurfs gehören insbesondere eine Pflicht zur Meldung von IT-Sicherheitsvorfällen durch Betreiber kritischer Infrastrukturen und Telekommunikationsanbieter sowie die Einführung von IT-Mindestsicherheitsstandards. Aus Sicht des Hightech-Verbandes Bitkom liegt die Herausforderung in der konkreten Ausformulierung des Gesetzes. So müsse festgelegt werden, welche Unternehmen welcher Branchen als Betreiber kritischer Infrastrukturen gelten.

Als einer der zentralen Ausrüster kritischer Infrastrukturen und globaler Technologieführer im Bereich der Industrial IT ist die deutsche Elektroindustrie in besonderem Maße von diesem Thema betroffen. Der ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie) unterstützt die Bundesregierung dabei, noch in diesem Jahr ein IT-Sicherheitsgesetz zu verabschieden.

Bildergalerie

Betroffene Industrien von Beginn an konstruktiv einbezogen

„An der Schwelle zu Industrie 4.0 ist es wichtig, dass von Beginn an die rechtlichen Grundlagen für hohe, sowie industrietaugliche Sicherheitsstandards festgelegt werden“, so Dr. Klaus Mittelbach, Vorsitzender der ZVEI-Geschäftsführung. Mittelbach begrüßt, dass die betroffenen Industrien von Beginn an konstruktiv einbezogen werden. Dies ermögliche zum Beispiel die Diskussion darüber, wie die Sicherheit der deutschen Industrie in Bezug auf stark vernetzte informationstechnische Systeme und Komponenten gestärkt werden kann.

Hinweise, wie der vorliegende Gesetzesentwurf weiterentwickelt werden kann, gibt eine aktuelle von BDI, Bitkom und weiteren Branchenverbänden in Auftrag gegebene Studie von KPMG. Die bisher vorgesehene verpflichtende Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erzeuge erhebliche Unsicherheiten, so Mittelbach. Wo immer möglich, seien bilaterale Vertragsvereinbarungen zwischen Betreibern und Zulieferern zu präferieren. Zu erörtern seien die jeweiligen Vor- und Nachteile einer Pseudonymisierung beziehungsweise Anonymisierung der Meldevorgänge, um das Sicherheitsniveau zu stärken sowie unbeabsichtigten Reputationsschäden vorzubeugen.

Diskussionsbedarf sieht Mittelbach bei der möglichen Durchreichung der Vorschriften für Infrastrukturbetreiber an die industriellen Zulieferer. Sicherheitsmaßnahmen, die für Office-IT-Anwendungen entwickelt wurden, direkt auf Industriebereiche (Industrial IT) zu übertragen sei in vielen Fällen nicht praxistauglich. Dies gelte insbesondere im Falle des notwendigen Dauerbetriebs industrieller Fertigungsprozesse (ständige Verfügbarkeit unter Echtzeitbedingungen). Existierende privatwirtschaftliche Maßnahmen böten dafür eine geeignete Diskussionsgrundlage.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 42855707)