Cybersecurity

IT-Sicherheitsgesetz

Besserer Schutz vor Cyberangriffen

2015 trat das erste IT-Sicherheitsgesetz in Kraft. Es verpflichtete die Betreiber:innen kritischer Infrastrukturen wie Krankenhäuser oder Stromversorger erstmals, ihre IT-Systeme ausreichend gegen Cyberangriffe zu schützen. Auch an Online-Unternehmen hat das Gesetz höhere Anforderungen zum Schutz ihrer Kund:innendaten formuliert. Mit dem IT-Sicherheitsgesetz 2.0 wurden dann 2021 weitere Anforderungen an die IT-Sicherheit gesetzlich verankert – mit Zustimmung der meisten Unternehmen. In der „TÜV Cybersecurity Studie“ gaben 59 Prozent der Befragten an, dass gesetzliche Regulierungen zu einer besseren IT-Sicherheit ihres Unternehmens beitragen. 47 Prozent forderten explizit höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft. Und 77 Prozent sagten, in den vergangenen fünf Jahren sei die Bedeutung der IT-Sicherheit für sie gestiegen. Der TÜV-Verband begleitet die legislative Entwicklung des IT-Sicherheitsgesetzes seit Beginn und bringt seine Expertise fortlaufend im Rahmen der darin festgelegten Prüfungsanforderungen ein.

Der TÜV-Verband stellt fünf zentrale Forderungen an das IT-Sicherheitsgesetz 2.0

1. Sicherheit im Cyberraum durch eine höhere Resilienz stärken

Der TÜV-Verband begrüßt das mit dem IT-Sicherheitsgesetz 2.0 verbundene Ziel, mehr Sicherheit im Cyberraum zu schaffen und die Widerstandsfähigkeit der kritischen Infrastrukturen in Deutschland zu erhöhen. Die Ausweitung der KRITIS-Sektoren sowie die Adressierung von „Unternehmen im besonderen öffentlichen Interesse“ erscheint vor dem Hintergrund der weiterhin zunehmenden Cyberrisiken als adäquates Mittel. Zu begrüßen ist auch die Einbeziehung entsprechender „kritischer Komponenten“.

2. Ordnungspolitische Grundsätze wahren

Sowohl die Übertragung neuer Aufgaben an das BSI als auch die Personalpolitik des BSI sollten dem Grundsatz des Subsidaritätsprinzips entsprechen und sich gleichfalls an den Grundsätzen der Staats-entlastung orientieren. Dem folgend sollen sich Staat und Behörden auf ihre originären und hoheitlichen Aufgaben konzentrieren können, die nicht anderweitig durch nicht-staatliche Akteure ebenso effizient erfüllt werden können. Die TÜV-Unternehmen haben ihrerseits massiv in Kompetenzaufbau investiert und sehen sich in der Lage, ihre Rolle in diesem System im Rahmen der Konformitätsbewertung wahrzunehmen.

3. BSI als Cybersicherheitsbehörde auf hoheitliche Aufgaben konzentrieren

Durch die dem BSI zugedachten Tätigkeiten in der Akkreditierung, der Zertifizierung, der Marktaufsicht und der Regelsetzung wird das BSI politisch angreifbar, denn es drohen Interessenkonflikte und eine Aufgabenüberfrachtung. Durch die gleichzeitige Ausübung von Rollen, die im Sinne eines Systems basierend auf Check-and-Balances austariert und getrennt sein sollten, wird es der Behörde systematisch erschwert, Vertrauen zu schaffen und die Unabhängigkeit und Neutralität sicherzustellen, die es dazu bedarf.

4. Detektion von Sicherheitsrisiken als Pflicht der jeweiligen Betreiber verankern

Zur Detektion von Sicherheitsrisiken in digitalen Infrastrukturen sollte das BSI vom Gesetzgeber ausschließlich für die Infrastrukturen des Bundes beauftragt werden. Unternehmen im Bereich der kritischen Infrastrukturen, der digitalen Dienste und Unternehmen im öffentlichen Interesse sollten stattdessen verpflichtet werden, gegenüber dem BSI regelmäßig den Nachweis zu erbringen, dass mögliche Sicherheitsrisiken durch qualifizierte unabhängige Dritte detektiert wurden.

5. IT-Sicherheitskennzeichen konkretisieren und Transparenz im Markt herstellen

Zur Vertrauensbildung bei Verbraucher:innen ist es bei der Ausgestaltung des IT-Sicherheitskennzeichens zentral, dessen Aussage so konkret wie möglich darzustellen und damit Fehlinterpretationen der Verbraucher:innen vorzubeugen. Der TÜV-Verband ist der Überzeugung, dass nur die gemeinsame Betrachtung der Schutzziele Safety, Security und Privacy einem umfassenden Sicherheitsversprechen dauerhaft gerecht werden kann. Ebenfalls rät der TÜV-Verband von der Verwendung eines hoheitlichen Symbols als Bestandteil des Prüfzeichen ab.

Deshalb entwickeln die TÜV-Organisationen ein echtes Zertifikat für IT-Sicherheit. Ähnlich wie das GS-Zeichen für Produktsicherheit bestätigt es Verbraucher:innen, dass diese Waren von unabhängigen Experten auf ihre IT-Sicherheit hin geprüft wurden.

Unternehmen haben die Option, sich zertifizieren zu lassen, allerdings besteht keine Pflicht. Der TÜV-Verband geht davon aus, dass zertifizierte IT-Sicherheit bei Kaufentscheidungen der Verbraucher:innen eine wichtige Rolle spielt – was das Interesse von Unternehmen an diesem Gütesiegel steigern könnte. 

So kann das neue IT-Sicherheitsgesetz 2.0 das erklärte Ziel der Bundesregierung erreichen, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den weltweit sichersten zu machen.

Unsere Stellungnahmen

Stellungnahme des TÜV-Verbands zum Gesetzesentwurf der Bundesregierung zum IT-Sicherheitsgesetz 2.0

Stellungnahme des TÜV-Verbands zum IT-Sicherheitskennzeichen

Haben Sie Fragen?

Marc Fliehe

Stabsstellenleiter Digitalisierung und IT-Sicherheit

+49 30 760095-460

marc.fliehe@tuev-verband.de