Neues IT-Sicherheitsgesetz könnte deutsche Wirtschaft teuer zu stehen kommen

Erstellt von Baker Tilly | |  IT-Compliance

Das von Bundesinnenminister Thomas de Maizière vorgestellte IT-Sicherheitsgesetz dürfte der deutschen Wirtschaft teuer zu stehen kommen. Bis zu 700.000 Euro könnten die notwendige Folgeinvestitionen für einzelne Unternehmen betragen, sagt der IT-Sicherheitsexperte Heiko Jacob von Baker Tilly Roelfs. Zudem sei vielen Unternehmen noch gar nicht klar, ob und welcher Handlungsbedarf für sie durch das neue Gesetz entsteht.

„Im Rahmen der von uns durchgeführten IT-Systemprüfungen und anderen prüfungsnahen Beratungsprojekten haben wir immer wieder festgestellt, dass insbesondere im Mittelstand ein uneinheitliches Niveau der IT-Sicherheit besteht“, erklärt Jacob: „So verfügen beispielsweise nur einige Unternehmen über ein ausgeprägtes Risikomanagement mit übergreifen- den Sicherheitskonzepten und regelmäßigen Notfallübungen, bei anderen sind diese Maßnahmen noch nicht oder nur sehr schwach ausgeprägt. Entsprechend ergaben sich in den konkreten Projekten teilweise notwendige Folgeinvestitionen und -kosten von bis zu 700.000 Euro.

Durch das neue Gesetz werden auf die Betreiber kritischer Infrastrukturen zum Teil ganz erhebliche Mehraufwendungen für die Schaffung und die Einhaltung eines Mindestniveaus an IT-Sicherheit zukommen:

  • IT-Infrastrukturkosten
    Möglicherweise müssen im Bereich der IT-Infrastruktur selbst Maßnahmen durchgeführt werden, da sich Unternehmen zwar regelmäßig auf das Erkennen und Abwehren von Angriffen konzentrieren, aber eher selten die dazugehörigen organisatorischen Prozesse so konzipiert sind, dass diese für eine strukturierte Weiterleitung von Meldungen an eine Behörde geeignet sind. Hier sind technische, personelle und organisatorische Anpassungen der Sicherheitsumgebungen notwendig; dieses trifft auch auf ausgelagerte Dienstleistungen zu, da diese in die Meldepflicht beim auslagernden Unternehmen einzubeziehen ist.
  • Personalkosten
    Die Maßnahmenumsetzung bzgl. der konkreten Anforderungen muss ggf. durch zusätzliche entsprechend qualifizierte Kompetenzen erfolgen; ggf. muss auch juristischer Beistand in Anspruch genommen werden. Beides führt sicherlich zu einer Steigerung der Personalkosten.
    Weitere Personalkosten werden durch die geforderten Warn- und Alarmierungskontakte entstehen, über die eine jederzeitige Erreichbarkeit gewährleistet sein muss. Dieses lässt sich vermutlich nur durch entsprechende Schicht-, Bereitschafts-, Wochenend- und Feiertagsdienste realisieren, woraus wiederum steigende Personalkosten aufgrund von Zusatzvergütungen und/oder zusätzlichen Personalressourcen resultieren.
  • Kosten durch die Umsetzung von IT-Sicherheitsstandards
    In jedem Fall ist mit einem Mehraufwand durch die Einführung und Umsetzung der gesetzlich geforderten IT-Mindestsicherheitsstandards zu rechnen. Einerseits sind die eigenen, ggf. schon hohen, Sicherheitsstandards, an die neuen nationalen Vorgaben anzupassen. Andererseits muss bei international tätigen Unternehmen ggf. eine internationale Harmonisierung von IT-Sicherheitsstrukturen erfolgen.
  • Reputationsrisiken
    Weitere Risiken können durch mögliche Reputationsschäden entstehen.
    Geht das Vertrauen in ein Unternehmen, etwa durch Datenabfluss oder Bekanntwerden eines schwerwiegenden IT-Sicherheitsvorfalles, kann sich dieses in einem Rückgang von Kundenzahlen, Umsatzeinbußen oder einem veränderten Investorenverhalten ausdrücken, mit all seinen monetären folgen. Dieses bedeutet, dass die Reputation eine wertvolle Ressource für die Unternehmen darstellt.

Daher sollten rechtzeitig erforderliche IT-Sicherheitsprüfungen durchgeführt und entsprechende Anpassungen eingeleitet werden.

Hintergrund

Bereits im Jahr 2011 wurde von der Bundesregierung die "Cyber-Sicherheitsstrategie für Deutschland" beschlossen. Die Kernelemente sind neben dem Aufbau eines nationalen Cyber-Abwehrzentrums und der Sensibilisierung der Bevölkerung für das Thema IT-Sicherheit insbesondere der Schutz kritischer Infrastrukturen im Hinblick auf deren IT-Systeme (KRITIS).

Mit dem neuen Gesetz sollen sogenannte kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze besser vor Hackerangriffen geschützt werden. Neben verpflichtenden Meldungen seitens der Betreiber solcher Infrastrukturen über IT-Sicherheitsvorfälle werden gesetzliche Mindeststandards für die IT-Sicherheit bei den Betreibern festgelegt. Insbesondere von der geplanten Meldepflicht sollen schätzungsweise weit mehr als 15.000 Unternehmen in Deutschland betroffen sein. Folglich würde sich beim Inkrafttreten des Gesetzes ein konkreter Handlungsbedarf insbesondere für die Energie- oder Telekommunikationsbranche aber auch für Krankenhäuser ergeben. Das IT-Sicherheitsgesetz sieht beispielsweise die Verpflichtung zur Durchführung von Sicherheitsaudits im Zwei-Jahresrhythmus vor. Darüber sowie über ggf. aufgedeckte Sicherheitsmängel soll Bundesamt für Sicherheit in der Informationstechnik (BSI) dann informiert werden.

Vom Sicherheitsgesetz abgesehen, fordert de Maizière zudem eine Modernisierung des Datenschutzes. Die bisher geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht. Es werden Schutzkonzepte benötigt, die international wirksam und in der digitalen Welt tatsächlich durchsetzbar sind. Die Verabschiedung einer EU-Datenschutzverordnung habe deshalb eine zentrale Bedeutung. Die Verordnung werde das deutsche Datenschutzrecht zum Thema „komplett“ ablösen.