Trotz Kritik aus der Autobranche hält die Regierung am neuen IT-Sicherheitsgesetz fest.
Das geplante IT-Sicherheitsgesetz 2.0, das Ende Januar vom Bundestag in erster Lesung beraten wurde, wird vom VDA stark kritisiert. Der Automobilverband sieht „gravierende Probleme“ und fordert eine Überarbeitung des Gesetzesentwurfs.
Die Mängelliste des VDA ist umfangreich. So ist nach Ansicht des Verbands der Geltungsbereich unklar. Die Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führe zu einer „enormen Mehrbelastung der Unternehmen“ und das Gesetz sehe die „Anordnung der konkreten Verwendung von speziellen Technologien oder Verfahrensweisen und Algorithmen“ vor. Damit würde der Staat in die unternehmerische Freiheit eingreifen und neue Verfahrensweisen ausgrenzen.
Innenministerium sieht kein Grund zur Sorge
Bei näherer Betrachtung erscheinen die Kritikpunkte jedoch wenig stichhaltig. Nach Einschätzung der Bundesregierung gelten die Neuregelungen für Unternehmen im besonderen öffentlichen Interesse für mehrere Automobilfirmen. Das betrifft besonders die Unternehmen, die aufgrund ihrer inländischen Wertschöpfung zu den größten in Deutschland gehören. Als Grundlage dient die Top-100-Liste der umsatzstärksten deutschen Unternehmen. Dieses Ranking wird von der Monopolkommission erstellt. 2018 zählten zu der Liste die Hersteller Volkswagen, Daimler, BMW und Ford sowie die Zulieferer Bosch, Schaeffler, ZF Friedrichshafen und Mahle. Nach Auskunft des Bundesinnenministeriums (BMI) ist geplant, in einer Rechtsverordnung Schwellenwerte auszuweisen, anhand derer Unternehmen feststellen können, ob sie von den Regelungen betroffen sind.
Diese Firmen werden aber nicht wie die Betreiber Kritischer Infrastrukturen (KRITIS-Sektoren) geregelt: Das Gesetz basiert auf den Compliance-Anforderungen, die Unternehmen ohnehin erfüllen müssen. Zur vom VDA befürchteten Mehrbelastung erklärte das Innenministerium auf Anfrage schriftlich: „Alle Unternehmen im besonderen öffentlichen Interesse sollen verpflichtet werden, eine Kontaktstelle beim BSI zu registrieren, über welche das BSI die Unternehmen im Bedarfsfall warnen und informieren kann. Zudem ist eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle an das Bundesamt vorgesehen.“ Bei Großunternehmen ist im Durchschnitt von ungefähr 50 Meldungen jährlich auszugehen.
Die 100 umsatzstärksten Firmen werden zusätzlich verpflichtet, alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit an das BSI abzugeben. Darin müssen sie unter anderem angeben, welche Zertifizierungen, Audits oder sonstigen Maßnahmen sie durchführen. In der Einleitung zum Gesetzentwurf heißt es zur Mehrbelastung: „Der Wirtschaft entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufgaben ein laufender Erfüllungsaufwand in Höhe von 21,64 Millionen Euro. Davon entfallen 3,86 Millionen Euro auf jährliche Personalkosten und rund 17,78 Millionen Euro auf jährliche Sachkosten. Hier-von entfallen wiederum 0,35 Millionen Euro auf Bürokratiekosten durch Informationspflichten.“
Reichweite des Gesetzes bleibt beschränkt
Zum Vorwurf des VDA, es müssten Kryptoprotokolle offengelegt werden und sogar spezielle Techniken könnten angeordnet werden, erwidert das Ministerium: „Derart umfassende Ge- oder Verbote wie in der VDA-Stellungnahme behauptet wird, sind im Gesetzentwurf nicht angelegt. Es wird lediglich die Möglichkeit für das BMI verankert, über eine Rechtsverordnung bestimmte Vorgaben zur Interoperabilität von IT-Systemen, Komponenten oder Prozessen zu machen. Die Gesetzesbegründung verweist dazu eingrenzend explizit auf den Mobilfunksektor.“ Diese Regelung trifft der neue §10 Absatz 6.
Darüber hinaus fordert der VDA die Möglichkeit, dass Sicherheitsbehörden das Schlüsselpersonal überprüfen können. In einem früheren Entwurf war das enthalten. Dazu hätte das Sicherheitsüberprüfungsgesetz ausgedehnt werden müssen, was auf den Widerstand des Bundeswirtschaftsministeriums traf.
Der VDA lehnte gegenüber automotiveIT eine nähere Stellungnahme zu seinen Kritikpunkten ab und verwies auf den Text der Pressemitteilung. Auch BMW und Daimler wollten sich nicht äußern. Mercedes-Benz lehnte das sogar generell bei Fragen zur IT-Sicherheit ab.
