Das IT-Sicherheitsgesetz 2.0 steht in den Startlöchern. Details zur ursprünglichen Version, die die digitalen Infrastrukturen der Bundesrepublik zu den sichersten der Welt machen wollte, wurden bereits veröffentlicht. Schnell war klar: Sie bedarf einer Überarbeitung.
Welche Inhalte nun ergänzt werden sollen und welche Auswirkungen das IT-Sicherheitsgesetz 2.0 auf Verbraucher und Unternehmer künftig hat, erfahren Sie hier.
Das IT Sicherheitsgesetz 2.0 steht schon jetzt in der Kritik. Bild: Pixabay/geralt
IT-Sicherheitsgesetz 2.0
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, so der eigentliche Titel, ist eine Maßnahme aus dem Koalitionsvertrag der Bundesregierung und in seiner Ur-Version seit 2015 in Kraft. Im Kern geht es bei der jetzigen Überarbeitung darum, die IT-Sicherheit in Deutschland für alle Parteien zu erhöhen. Dabei sollen auch aktuelle Problematiken wie beispielsweise die steigende Anzahl von Hacker-Angriffen berücksichtigt werden.
Kurz gesagt: Jeder, der ein IT-System nutzt (also quasi jeder einzelne Bundesbürger, ob als Privatperson, Unternehmer oder Angestellter agierend), soll bestmöglich vor sämtlichen Gefahren geschützt sein. Für ein Gesetz ein durchaus ambitioniertes Ziel, dem sich das Bundesamt für Sicherheit und Informationstechnik (BSI) verschrieben hat.
Selbiges plant dabei auch eine Erweiterung der eigenen Befugnisse ein. Dabei geht es beispielsweise darum, Anordnungen an Provider zu erlassen oder sicherheitsrelevante Prüfungen von Hard- und Softwarekomponenten durchzuführen. Auch ein erweitertes Meldewesen soll fest im IT-Sicherheitsgesetz 2.0 verankert sein.
Meldepflichten für Hersteller
Alle Hersteller von IT-Produkten sollen dem zuständigen Bundesamt künftig kritische Störungen melden. Das kann die Bereiche Vertraulichkeit, Integrität, Authentizität oder auch – ganz banal – die Verfügbarkeit betreffen. Der ein oder andere mag in diesem Zusammenhang an die DSGVO-Meldepflicht denken. Auch hier schreibt der Gesetzgeber mittlerweile klar vor, in welchem Fall welche Art von Störung offiziell an die jeweils zuständige Behörde zu melden ist.
Das Ganze hat – zumindest beim Datenschutz – nur einen Haken: Die Flut der Meldungen, teilweise vielleicht auch gar nicht aus der Notwendigkeit, sondern aus der Angst vor Sanktionen geboren, überrollt die personell sowieso meist schon schwach besetzten Behörden. Das Resultat: Die Bearbeitung dauert Ewigkeiten. Wer davon am Ende etwas hat, bleibt unklar.
IT-Sicherheitsgesetz 2.0 – Auswirkungen für Betreiber von Systemen
Wer ein IT-System betreibt, ist künftig ebenfalls stärker in der Pflicht. Das betrifft zum einen erweiterte Meldepflichten bei Sicherheitsvorfällen. Zusätzlich sollen die Betreiber sogenannte Vertrauenswürdigkeitserklärungen für Kernkomponenten der IT-Infrastruktur einholen und Früh-Warnsysteme für Cyber-Angriffe implementieren.
Bislang soll das für alle börsennotierten Unternehmen sowie Unternehmen gelten, die in den Branchen Energie, Kultur, Medien und Rüstung tätig sind. Darüber hinaus soll das BSI die Befugnis erhalten, die genannten Regeln auch Unternehmen aufzuerlegen, die aktuell in keine der beiden Kategorien fallen, aber besonders „attraktiv“ für Cyberkriminelle sind. Nach den Erfahrungen und Sicherheitsreports der letzten Jahre dürften das vor allem Betriebe aus den Bereichen Finanzen, Kommunikation und Versicherung sein.
Und noch eine Parallele zur DGSVO existiert: Bußgelder. Wer sich nicht an die strengen Richtlinien hält, darf zahlen. Und zwar ordentlich. Der Bußgeldrahmen soll auf bis zu 4 Prozent des globalen Umsatzes eines Unternehmens angehoben werden. Was das dann im Falle eines Falles bedeutet, kann sich jeder selber ausrechnen.
Macht ein Gesetz unsere Infrastrukturen wirklich sicherer?
Eine gute Frage, die wohl nur die Zeit beantworten kann. Generell erhöht sich das allgemeine Sicherheitsniveau natürlich, wenn mehr Unternehmen ihre Systeme besser und kontrolliert schützen. Aber ähnlich wie beim Thema Datenschutz besteht auch beim IT-Sicherheitsgesetz die Gefahr, in erster Instanz nur enorme Aufwände zu kreieren. Und zwar für alle: Unternehmen, Hersteller, Behörden.
Sollten sich ergänzend zu den neuen Verordnungen die personellen Kapazitäten des BSI selbst nicht drastisch erhöhen, droht schlimmstenfalls sogar Chaos. Aber auch unabhängig vom „Wer-Wo-Wie“ steht das überarbeitete Gesetz schon länger in der Kritik, vor allem inhaltlich. Erst auf der letzten No-Spy-Konferenz im Mai 2019 geriet der Politiker Horst Seehofer diesbezüglich schnell ins Kreuzfeuer vieler Fachexperten – und das wird bestimmt nicht die letzte Debatte gewesen sein.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung