Sie sind hier

Blogeintrag: IT-Sicherheit per Gesetz – aber zu welchem Preis?

„Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren“, so sprach einst Benjamin Franklin.

Das kürzlich in Kraft getretene IT-Sicherheitsgesetz wird der im 18. Jahrhundert lebende Amerikaner noch nicht gemeint haben; würde er aber heute leben, sein berühmtes Zitat hätte vielleicht genau diesen Ursprung. Insbesondere wenn er an die kleinen Unternehmen gedacht hätte, die ab sofort einiges an Freiheit aufgeben müssen, um den neuen gesetzlichen Sicherheitsanforderungen gerecht zu werden.

Das neue IT-Sicherheitsgesetz ist kürzlich vom Bundestag verabschiedet worden. Aber handelt es sich tatsächlich, wie mehrfach von der Regierung angekündigt, um den großen Wurf in Sachen IT-Sicherheit? Diese Frage hat kürzlich unser BISG-Fachbereichsleiter „IT-Sicherheit“, Stephan Krischke, in seinem Kommentar zum IT-Sicherheitsgesetz gestellt. Greifen wir seine Gedanken noch einmal auf und werfen einen Blick auf Ziel und Anforderungen des neuen Gesetzes: 

Ziel ist die Verbesserung der IT-Sicherheit für Unternehmen, die eine kritische Infrastruktur (KRITIS) betreiben. Verbunden mit maßgeblichen Veränderungen für KRITIS-Unternehmen, denn diese müssen zukünftig ein sogenanntes Information Security Management (ISMS) betreiben, eine Zertifizierung mindestens nach ISO 27001 ff. aufweisen und Sicherheitsvorfälle verpflichtend melden. Betroffen sind weit mehr Firmen als erwartet.

Es gibt allerdings ein zentrales Problem, das sich mittlerweile herauskristallisiert: Das Gesetz betrifft weit mehr Unternehmen als ursprünglich erwartet. Zwar kam das IT-Sicherheitsgesetz natürlich nicht von heute auf morgen. Insbesondere die großen Unternehmen kennen die Problematik schon seit einigen Jahren und haben sich zum Großteil auch darauf vorbereitet.

Wie sieht es aber mit den kleinen Betrieben aus, die trotz kritischer IT-Infrastrukturen nicht als sogenannte KRITIS-Unternehmen eingestuft wurden? Die Antwort: Sie sind nicht minder betroffen, da sie die Anforderungen quasi von oben herab zu spüren bekommen werden, beispielsweise wenn von größeren Partnerunternehmen ein tiefgreifendes IT-Sicherheitsmanagement gefordert und per IT-Audit überprüft wird. Diese Anforderungen zu erfüllen jedoch, ist für viele kleine Betriebe eine große Herausforderung.

Befürworter des IT-Sicherheitsgesetzes argumentieren oft, dass die Qualität von Cyber-Attacken gestiegen ist und sich die Angreifer den aktuellen Gegebenheiten in der Welt der IT-Sicherheit anpassen. Das stimmt! Sie argumentieren zudem, dass in vielen Unternehmen immer noch zu große Wissenslücken vorhanden sind und die Gefahr durch Cyberkriminelle, Malware & Co. schlicht unterschätzt wird. Stimmt auch! Dass das IT-Sicherheitsgesetz allerdings unisono der Heilsbringer für alle Unternehmen ist, wagen wir zu bezweifeln.

Das Fazit unseres FB-Leiters Stephan Krischke lautet sinngemäß: IT-Sicherheitsmaßnahmen, ja! Virenschutz, Passwortmanagement & Co. müssen sein. Ja, sie sollten sogar verpflichtend gelten. Aber sie sollten stets der Unternehmensgröße und den finanziellen Voraussetzungen angepasst sein. Andernfalls ist der Preis, den kleine und mittlere Unternehmen für das IT-Sicherheitsgesetz zahlen müssen in mehrfacher Hinsicht zu hoch.

Ein interessanter Gedanke von Herrn Krischke, der damit in seinem Kommentar deutlich formuliert, dass das IT-Sicherheitsgesetz den KMU keinesfalls gerecht wird. Die Meinungen zum IT-Sicherheitsgesetz gehen sicherlich auseinander. Es gibt auch im BISG unterschiedliche Standpunkte, die keinesfalls alle in dieselbe Richtung gehen. Das Thema bleibt somit spannend und diskussionswürdig.