IT: Bald Mindeststandards gegen Hackerangriffe

Thinkstock / Getty Images

18.09.14
CFO

IT: Bald Mindeststandards gegen Hackerangriffe

Die Regierung will Unternehmen zu Mindeststandards gegen Hackerangriffe verpflichten. Der Entwurf des IT-Sicherheitsgesetzes lässt aber noch einige Fragen offen. Viele Unternehmen dürfen dennoch schon einmal aufatmen.

Ob sich Spione mit Tricks Zugang zu Datenbanken verschaffen oder vertrauliche Informationen aus E-Mails ausspähen, wie im Frühjahr bei Rewe geschehen: Hackerangriffe werden für immer mehr Unternehmen zu einem gravierenden Problem. Die Bedrohung für die deutsche Wirtschaft ist so groß, dass die Bundesregierung nun gesetzlich für einen besseren Schutz vor Angriffen auf die Unternehmens-IT sorgen möchte. Sie hat deshalb vor Kurzem den Entwurf für ein IT-Sicherheitsgesetz vorgelegt.

Das Ziel: Für Unternehmen, die so genannte „kritische Infrastrukturen“ betreiben, soll künftig ein Mindeststandard in Sachen IT-Sicherheit verpflichtend sein. Sie sollen den Plänen zufolge dann ihre IT-Standards regelmäßig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfen lassen und müssen Beeinträchtigungen ihrer IT-Systeme an ein zentrales System beim BSI melden.

Kaum Planung für Unternehmen möglich

Allerdings ist bisher nicht nur unscharf, wie viel Aufwand mit diesen Vorkehrungen verbunden sein wird, sondern auch, welche Unternehmen überhaupt unter das IT-Sicherheitsgesetz fallen werden. Mit der Definition „kritische Infrastrukturen“ zielt Berlin auf Unternehmen, die in für die Grundbedürfnisse der Bevölkerung elementar bedeutsamen Branchen aktiv sind – das sind nach dem Entwurf Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Energie, IT, Ernährung und Finanzen/Versicherungen.

Weiter ins Detail gehen die Pläne allerdings bislang nicht – und sehen sich deshalb einiger Kritik ausgesetzt: „Unter diese Branchen lassen sich sehr viele Unternehmen fassen“, sagt der Datenschutzexperte Axel von Walter von der Kanzlei Beiten Burkhardt. Für Unternehmen erschwert das natürlich die Planungsmöglichkeiten.“

Keine revolutionären Neuerungen

Klar ist jetzt schon, dass Kleinstbetriebe von den Regelungen ausgenommen werden: Das sind Unternehmen mit weniger als zehn Mitarbeitern und einem Umsatz bzw. einer Bilanzsumme von weniger als 2 Millionen Euro. Für alle anderen kann von Walter allerdings wenigstens teilweise Entwarnung geben: „Der Referentenentwurf sieht keine revolutionären Neuerungen für die Wirtschaft vor. Viele Unternehmen erfüllen die Sicherheitsstandards, die das neue Gesetz als Mindeststandard für bestimmte Branchen festschreiben will, schon heute.“

Die zusätzlichen Kosten dürften sich in diesen Fällen dann auch in Grenzen halten, meint der Experte. Aber auch hier müssen Unternehmen erst den weiteren Gesetzgebungsprozess abwarten, bis sie Klarheit haben: „Genau lassen sich die Kosten wohl erst beziffern, wenn feststeht, welche Unternehmen den Anforderungen unterliegen werden und welche Sicherheitsstandards sie dann im Einzelnen befolgen müssen.“

sarah.nitsche[at]finance-magazin.de