Die Verbesserung der IT-Sicherheit zum Schutz kritischer Infrastrukturen im Internet bildet eine zentrale Herausforderung der digitalen Gesellschaft. Eine digitale Gesellschaft ist auf funktionierende Informationsinfrastrukturen ebenso angewiesen wie auf eine zuverlässige Strom- und Wasserversorgung sowie auf funktionsfähige Verkehrsnetze. Nach längeren Anlaufschwierigkeiten hat die Bundesregierung nun einen Entwurf für ein IT-Sicherheitsgesetz (BT-Drs. 18/4096) vorgelegt, der heute in erster Lesung im Bundestag aufgerufen wird. Der Gesetzentwurf greift an vielen Stellen zu kurz und geht an anderen Stellen in die falsche Richtung.

Zu kurz greifen heißt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht zwingend veröffentlichen. Die Betreiber Kritischer Infrastrukturen haben erhebliche Störungen im Regelfall ohne Namensnennung zu melden. Die Nennung des Betreibers ist, wie es im Gesetzentwurf lautet, nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat. Also dann, wenn der Worst Case bereits eingetreten ist und eine Störung oder ein Ausfall ohnehin nicht mehr unbemerkt bleiben. Durch anonyme Meldungen allerdings entsteht kein öffentlicher Druck auf die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern. Sanktionsmöglichkeiten bei der Verletzung von Meldepflichten sind darüber hinaus ebenso wenig vorgesehen. > Weiterlesen