„In Sachen IT-Sicherheit ist Deutschland ein Entwicklungsland“, lautet das Urteil von Dieter Janecek1. Mit der Verabschiedung des neuen IT-Sicherheitgesetzes sollen in Deutschland Mindeststandards im Bereich IT-Sicherheit eingeführt werden, und es besteht nun eine Meldepflicht für IT-Sicherheitsvorfälle; zumindest für Unternehmen mit kritischer Infrastruktur. Doch was bedeutet das konkret und kann das IT-Sicherheitsgesetz tatsächlich dazu beitragen, den Schutz vor Cyberangriffen zu erhöhen?

Grundsätzlich könnte das IT-Sicherheitsgesetz dabei helfen, Cyberangriffe auszuwerten, Angriffsmuster zu erkennen und potenziell gefährdete Unternehmen zu warnen. Die Offenlegung von Angriffen stößt jedoch auf Widerstand aus der Wirtschaft: „Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Hackern werden” (Secupedia, 2015). Wenn der Cyberangriff keine größeren Schäden mit sich gebracht hat, können Unternehmen ihre Anonymität nach wie vor wahren. Kommt es jedoch zu einer Beeinträchtigung oder sogar Ausfall des Betriebs, muss der Name des Unternehmens bei Meldung des Angriffs angegeben werden.

Dies betrifft allerdings nur Betreiber kritischer Infrastrukturen, wie beispielsweise das Verkehrswesen, die ihre IT jetzt außerdem weiter nach Mindeststandards aufrüsten müssen. Damit werden die Anforderungen an Serveradmins – zum Beispiel für Online Shops – zum Schutz von Kundendaten und der eigenen IT-Systeme verschärft. Hierfür gibt die Bundesregierung zwei Jahre Zeit.

Für welche Firmen ist das Gesetz relevant?

Konkret sind ungefähr 2,000 Firmen aus verschiedenen Wirtschaftszweigen von dem neuen IT-Sicherheitsgesetz betroffen. Unter anderem fallen Banken, Krankenhäuser und Energieversorger in diese Kategorie. Ziel ist es vor allem, die Infrastruktur der Republik nicht zu gefährden. Auch Bundesbehörden unterliegen dem IT-Sicherheitsgesetz.

Kann das Risiko von Cyberangriffen tatsächlich minimiert werden?

Da das Gesetz bei Missachtung, also der Verweigerung, einen Cyberangriff zu melden, mit einer Strafe von 100.000 Euro droht, gehen Experten davon aus, dass es wirksam ist. Insbesondere durch die Analyse von den gemeldeten Daten und Cyberangriffen sollen weitere potenzielle Opfer einer Attacke geschützt werden. Selbst wenn die Strafe für einige große Unternehmen nicht teuer ist, so darf dennoch eins nicht außer Acht gelassen werden: Die Kosten eines erfolgreichen Cyberangiffs, bei dem Kunden infolge eines Missbrauchs von sensiblen Daten ihr Vertrauen in das Unternehmen verlieren, überbieten die Kosten der Strafe um einiges. Genau darum ist Prävention so wichtig – sowohl in Bezug auf IT-Sicherheitsstandards, als auch auf Versicherungsschutz im Fall von Datenverlust.

 

1 Deutscher Bundestag 2015, Bundestag beschließt das IT-Sicherheitsgesetz