Wirtschaft stellt neues IT-Sicherheitsgesetz auf den Prüfstand

10.12.2015

 

Das neue IT-Sicherheitsgesetz ist aus Sicht der Wirtschaft ein wichtiger Schritt für mehr Schutz. Dies war ein Ergebnis der Veranstaltung „Das IT-Sicherheitsgesetz: Ein ‚Sicherheitsgurt‘ für die Wirtschaft?“ in der IHK Frankfurt, bei der Unternehmer und IT-Fachleute mit dem Hessischen Innenminister Peter Beuth diskutierten. Ein Hauptanliegen von Beuth war die Ausweitung von Sicherheitsmaßnahmen gegen virtuelle Angriffe. „Um Attacken aus dem Netz zu verhindern, müssen wir verstehen, wie die Täter vorgehen. Das IT-Sicherheitsgesetz fördert den Wissensaustausch zwischen Sicherheitsbehörden und Wirtschaft und leistet damit einen wichtigen Beitrag“, so Beuth. Dr. Lutz Raettig, Vizepräsident der IHK Frankfurt, appellierte an alle Unternehmen, virtuelle Angriffe zu melden. „Sie helfen damit anderen Unternehmen, sich vor weiteren Angriffen zu rüsten“, so Dr. Raettig. Zugleich warnte er vor den Auswirkungen des Gesetzes auf die Unternehmen: „Das IT-Sicherheitsgesetz darf sich nicht zu einem ‚Meldemonster‘ entwickeln“.

 

Bei der Vortragsveranstaltung mit Podiumsdiskussion wurden Aspekte der hessischen Politik beleuchtet, Beispiele aus betroffenen Unternehmen gezeigt und die allgemeine IT-Sicherheitslage diskutiert. Dr. Raettig betonte die Chancen, die das neue Gesetz mit sich bringt, vor allem im Hinblick auf die Meldepflicht für Cyberattacken. „Gerade für einen Finanzstandort wie Frankfurt mit seinen vielen großen Finanzinstituten kann man die Bedeutung von Cybersicherheit nicht hoch genug einschätzen“, so Dr. Raettig. Doch nicht nur die großen Player der Finanzbranche, auch die kleinen und mittleren Unternehmen, die KMUs, müssten sich IT-Sicherheit auf ihre Fahnen schreiben. Viele Unternehmen meldeten Angriffe bisher aus Furcht vor Imageverlust nicht, die Dunkelziffer dürfte in diesem Bereich sehr hoch sein. Zum Schutz von Unternehmen ist im Rahmen des neuen IT-Sicherheitsgesetzes die Meldung auch anonym möglich. Dr. Raettig appellierte daher an die Unternehmen, alle Angriffe zu melden.

 

Zugleich warnte Dr. Raettig vor den Risiken bei der Anwendung des Gesetzes, mit dem die Betreiber besonders gefährdeter Infrastrukturen, also Kritischer Infrastrukturen (KRITIS) wie Energie, Wasser, Gesundheit oder Telekommunikation verpflichtet werden, ihre Netze besser vor Hackerangriffen zu schützen. „Die Bürokratie darf nicht überborden und nicht zu unverhältnismäßigem Mehraufwand bei den Unternehmen führen“, so Dr. Raettig.

 

Neben der obligatorischen Meldung von Cyberangriffen werden mit dem Gesetz Mindeststandards für die IT-Sicherheit bei den Betreibern von KRITIS festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI (Bundesamt für Sicherheit in der Informationstechnik) genehmigt werden. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Dr. Raettig mahnte an, dass den Unternehmen keine Nachteile durch die Auswirkungen des Gesetzes entstehen dürfen. „Die Wirtschaft braucht einen klaren Nutzen, wenn sie nun einen höheren Aufwand durch das Gesetz hat“, sagte Dr. Raettig. Aus Sicht der IHK Frankfurt ist eine effektive Leistungspartnerschaft mit den Behörden wünschenswert.

 

Der Hessische Innenminister Beuth erläuterte sein Engagement für Cybersicherheit, besonders in Bezug auf KRITIS: „Wir kümmern uns um den Schutz der Bürgerinnen und Bürger sowie unserer Unternehmen – dafür sind wir aber auch auf die Hilfe der Wirtschaft angewiesen. Virtuelle Angriffe haben reale Konsequenzen.“ Wenn KRITIS gehackt werden, sei dies eine andere Dimension als Cybercrime und eBay-Betrug. Das hessische Innenministerium stehe daher in der Verantwortung für Prävention von Cybercrime und für Digitalen Wirtschaftsschutz. „Die hessischen Kritischen Infrastrukturen stehen auf der Sicherheitsskala ganz oben“, so Beuth.

 

Dafür wurden einige Maßnahmen in die Wege geleitet. Im Landeskriminalamt wurde eine eigene Abteilung aufgebaut und der Bereich Wirtschaftsschutz im Landesamt für Verfassungsschutz wurde gestärkt. Zudem hat das Land Hessen den Vorsitz der AG Cybersicherheit der Innenministerkonferenz und koordiniert die fachministeriellen Abstimmungen zur Rechtsverordnung und Umsetzung des IT-Sicherheitsgesetzes. Außerdem besteht eine Zusammenarbeit mit dem Cybersicherheitszentrum CRISP (Center for Research in Security and Privacy) in Darmstadt. Mit dem Übungsformat KRITEX werden kritischen Szenarien geübt, u.a. auch mit KRITIS-Betreibern und Städten.

 

Beuth betonte die Notwendigkeit eines gesetzlichen Rahmens für den Schutz von Kritischen Infrastrukturen: „Stellen Sie sich vor, die Frankfurter Stromversorgung bricht auf einmal zusammen!“ Die meisten KRITIS-Betreiber seien bereits gut aufgestellt, jedoch erreiche man allein auf freiwilliger Basis nicht alle. „Dafür setzen wir auf Prävention, die in diesem Fall aus IT-Mindeststandards und verpflichtenden Meldungen besteht“, erläuterte Beuth.

 

Ansprechpartner

Telefon:

Ansprechpartner

Pressestelle IHK Frankfurt am Main Unternehmenskommunikation
Telefon: 069 2197-1201 Fax: 069 2197-1488