Pläne für mehr IT-Sicherheit: Angriffsschutz mit Schwachstellen
Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Expert:innen kritisieren bei einer Anhörung Lücken – darunter eine zentrale.
Cyberangriffe sind für Unternehmen und Verwaltung ein finanzielles und ein Sicherheitsrisiko. Laut dem IT-Verband Bitkom waren, Stand August, in den davorliegenden zwölf Monaten 81 Prozent aller Unternehmen von Angriffen auf die IT-Infrastruktur betroffen. Der entstandene Schaden sei von 205,9 Milliarden Euro im Vorjahreszeitraum auf 266,6 Milliarden Euro gestiegen.
Die EU will dieses Problem unter anderem mit der Netz- und Informationssysteme-Richtlinie (NIS2) angehen. Verabschiedet wurde das Regelwerk vor zwei Jahren und eigentlich hätte Deutschland es bis Oktober in nationales Recht umsetzen müssen. In Deutschland müssen bislang vor allem Unternehmen der sogenannten Kritischen Infrastruktur, zum Beispiel Wasser- und Energieversorger, definierte Regeln in Sachen IT-Sicherheit einhalten.
Mit der Umsetzung der Richtlinie, so die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sei mit einer „erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben“, zu rechnen. Schätzungen gehen von rund 30.000 betroffenen Unternehmen aus.
Unternehmen ja, Behörden nein?
Zentraler Kritikpunkt in der Anhörung waren die umfassenden Ausnahmen für Behörden und Ministerien. „Wir haben eher ein Cyberschwächungsgesetz“, sagte der Sachverständige Timo Kob von der IT-Beratungsfirma HiSolutions. Man brauche ein einheitliches Sicherheitsniveau, statt Ausnahmen für Ministerien und reduzierte Anforderungen für nachgeordnete Behörden.
Von einer „Glaubwürdigkeitslücke“, sprach Bitkom-Vertreter Felix Kuhlenkamp, wenn einerseits die Anforderungen für Unternehmen hochgeschraubt werden, der Staat sich aber Ausnahmen einräumt.
Die Expert:innen wiesen außerdem darauf hin, dass die Gesetzgebung zu Cybersicherheit in Deutschland insgesamt fragmentiert und uneinheitlich sei. „Das ist weder effektiv, noch effizient, noch im Sinne der Cybersicherheit dieses Landes“, sagte Sven Herpig, IT-Experte vom Thinktank interface.
„Wir brauchen einen ganzheitlichen Ansatz“, forderte IT-Sicherheitsprofessor Kipker. Es gehe nicht nur um Cybersicherheit, sondern um digitale Resilienz – also die Widerstandsfähigkeit von Strukturen und Institutionen, wenn es zu einem Angriff oder einer Störung kommt.
Herpig forderte zudem mehr Aus- und Weiterbildungsmaßnahmen für IT-Sicherheitskräfte. Der Markt sei jetzt schon leergefegt, es brauche Fachkräfte, damit die Unternehmen, die von den neuen Regeln betroffen sein werden, diese auch umsetzen können.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Debatte um SPD-Kanzlerkandidatur
Schwielowsee an der Copacabana
BSW und „Freie Sachsen“
Görlitzer Querfront gemeinsam für Putin
Urteil nach Tötung eines Geflüchteten
Gericht findet mal wieder keine Beweise für Rassismus
Papst äußert sich zu Gaza
Scharfe Worte aus Rom
Wirtschaftsminister bei Klimakonferenz
Habeck, naiv in Baku
Aktienpaket-Vorschlag
Die CDU möchte allen Kindern ETFs zum Geburtstag schenken