Lange wurde um das IT-Sicherheitsgesetz gerungen – auch unter Beteiligung der deutschen Industrie. Im Juni dieses Jahres trat das Gesetz in Kraft. Nach guter parlamentarischer Tradition ist nach 100 Tagen die Schonfrist vorbei – und Zeit für eine erste Zwischenbilanz: Wie bewerten die IT-Entscheider in den Unternehmen das neue Gesetz? Um die Frage zu beantworten, hat die Management- und Technologieberatung Sopra Steria 110 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern befragt. Die Ergebnisse sind in die Studie „Digital Security“ eingeflossen.

IT-Sicherheitsgesetz spaltet die Branche

Die Meinungen zum IT-Sicherheitsgesetz gehen in der Branche weit auseinander. Zwar begrüße die Mehrheit der Befragten das neue Gesetz als einen Schritt in die richtige Richtung. Jeder fünfte jedoch hält das Gesetz in dieser Form für unzureichend und fordert eine strengere Regulierung, wohingegen 13 Prozent der Befragten die neuen Regelungen für zu streng halten.

Das IT-Sicherheitsgesetz verpflichtet Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einzuhalten. Zudem müssen sie IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Hard- und Software-Hersteller sind ebenfalls zur Mitwirkung bei der Beseitigung von Sicherheitslücken verpflichtet.

IT-Sicherheitsgesetz muss zunächst durchgesetzt werden

Aus Sicht von Sopra Steria ist es allerdings noch zu früh, Veränderungen – ganz gleich ob Verschärfungen oder Aufweichungen – an dem Gesetz zu fordern. Nach Auffassung von Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria, müsse das Gesetz zunächst einmal in seiner heutigen Form durchgesetzt werden. Klar sei aber auch, dass Betreiber kritischer IT-Infrastrukturen, die den Vorgaben des Gesetzes nicht nachkommen, „entsprechend sanktioniert werden“ müssen.

Sanktionshöhe ist zu gering

Zu hinterfragen ist aber nach Ansicht von Spiegel bereits heute die Höhe möglicher Sanktionszahlungen. Laut des energiewirtschaftlichen Instituts an der Universität Köln verursache ein einstündiger Stromausfall durchschnittliche Wertschöpfungsverluste von 430 Millionen Euro. Wenn der Stromausfall aber durch eine unzureichende IT-Sicherheit ausgelöst wurde, steht ein Bußgeld von maximal 100.000 Euro dazu in keiner Relation“, so Spiegel. (ESV/ms mit Material von Sopra Steria)

Literaturhinweise zum Thema IT-Sicherheit

Wie Unternehmen wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und deren Erfüllung einer effizienten Steuerung zuführen, erläutern Michael Rath und Rainer Sponholz in dem Band "IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen".

Eine praxisorientierte Einführung in die Welt der IT-Prüfung bietet Stefan Beißel in "IT-Audit: Grundlagen - Prüfungsprozess - Best Practice". Anhand eines umfassenden Prüfungskatalogs können Sie systematisch erschließen, worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt.

Beide eBooks stehen Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung.