IT-Sicherheitsgesetz wird ein Jahr alt
2.000 betroffene Anlagen
War zuvor noch von 18.000 Kritis-Unternehmen die Rede, geht das Innenministerium inzwischen von 2.000 betroffenen Anlagen aus, die Zahl der Betreiber dürfte deutlich darunter liegen. "Es hat einen guten und konstruktiven Dialog zwischen Staat und Wirtschaft gegeben", lobt Marc Fliehe vom Digitalverband Bitkom. Die Expertisen der Unternehmen seien in die Ausgestaltung des Gesetzes eingeflossen.
Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.
Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.
Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.
Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.
Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können.
