Wer die Medien in den letzten Tagen verfolgt hat, ist unweigerlich auf die Berichterstattungen zum Entwurf des IT-Sicherheitsgesetzes gestoßen. Bundesinnenminister Dr. Thomas de Maizière vergleicht die Tragweite des Gesetzes mit der Einführung des Sicherheitsgurts in den 70er-Jahren. Das neue Gesetz soll Unternehmen und Behörden vor Hackerangriffen schützen, denn diese Zielgruppen werden aufgrund ihrer wertvollen Daten immer häufiger Opfer von Cyberkriminalität. Insbesondere betroffen vom neuen Gesetzt sind neben Energie- und Wasserversorgern, landwirtschaftliche und medizinische Einrichtungen, Transport- und Verkehrswesen, die Informationstechnik sowie der Finanzsektor, also Banken, Finanzdienstleister, Börsen und Versicherer. Am vergangenen Freitag hatten wir die Gelegenheit, im Rahmen eines Empfangs in den Räumlichkeiten der Leipziger Foren, die Hintergründe der „Digitalen Agenda“ und des jüngst vorgelegten Entwurfs für das erste „IT-Sicherheitsgesetz“ direkt vom Bundesinnenminister dargelegt zu bekommen. Ich möchte auch unsere Blogleser am Inhalt des Vortrags teilhaben lassen, daher folgt kurz ein Abriss des Abends.

 

BM_22.08.2014

 

Dr. de Maizière begann sehr allgemein und ließ einige Aussagen zum Internet an sich zu. So sei das Internet zu einer Basisinfrastruktur geworden und diene in vielerlei Hinsicht der Daseinsvorsorge. Alle vergleichbaren Basisinfrastrukturen (Strom, Eisenbahn, Telefon…) seien früher staatlich gewesen und es bestünde hier, auch nach der jeweiligen Deregulierung, eine staatliche Gewährleistungsverantwortung. Das Internet ist dem Innenminister zufolge diesbezüglich vernachlässigt worden, müsse jedoch analog dazu behandelt werden. Nun ließe sich einwenden, dass Datendienste längst einmal Aufgabe der Bundespost waren und einige Aspekte stets unter Aufsicht von der RegTP und später Bundesnetzagentur lagen. Aber grundsätzlich ist wohl unstrittig, dass Teile unserer IT-Infrastruktur fragil sind und der moderne Staat gewisse Gewährleistungspflichten hat oder haben sollte.

 

Wo diese Gewährleistungspflichten beginnen und wo sie enden ist eine andere Frage, die meiner Meinung nach zu Recht nicht im Gesetz, sondern frühestens in den zugehörigen Verordnungen eingegrenzt und spätestens vor einem ordentlichen Gericht beantwortet wird. Was schützenswert ist und wie es geschützt werden muss, unterliegt grade im Rahmen der fortschreitenden Digitalisierung einem permanenten Wandel und diese Vorgehensweise erlaubt die notwendige Flexibilität, um mit diesem Wandel Schritt zu halten. De Maizière betonte, die Zuständigkeit des Bundesgesetzes sei dort begründet, wo eine kritische Masse betroffen ist und das Funktionieren der Gesellschaft im Allgemeinen durch eine Störung gefährdet sein könnte.

 

Die Festlegung, welche Dienstleistungen und Infrastrukturen kritisch sind, soll in enger Abstimmung mit den jeweiligen Branchen sowie der Wissenschaft erfolgen (Artikel 1 Nummer 9). Die Branchen dabei selbst sollen vorschlagen, ab wann eine Störung „aus gesamtgesellschaftlicher Sicht eine stark negative Wirkung“ (Begründung zu Nr. 9, IT-Sicherheitsgesetz) entfalte. In der Gesetzesbegründung werden kritische Dienstleistungen des Sektors „Finanz- und Versicherungswesen“ nur kurz aufgelistet (Referentenentwurf IT-Sicherheitsgesetz, Stand 18.8.2014 S. 47):

  • Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister)
  • Bargeldversorgung (Branche: Banken)
  • Kreditvergabe (Branche: Banken, Finanzdienstleister)
  • Geld- und Devisenhandel (Branche: Börsen)
  • Wertpapier- und Derivatehandel (Branche: Börsen)
  • Versicherungsleistungen (Branche: Versicherungen)

 

Nun kann die Assekuranz diesem Gesetz recht entspannt entgegensehen. Bereits seit zwei Jahren werden freiwillige Maßnahmen unternommen, die vieles, das künftig Pflicht werden soll, bereits vorwegnehmen. Dem „Lage-Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft“ (LKRZV) ist für die weitsichtige Vorbereitung – die bereits durch de Maizières Amtsvorgänger Friedrich gelobt wurde – zu gratulieren. Zugleich hebt der Gesetzesentwurf des Bundes zahlreiche Risiken hervor, von denen ein relevanter Teil versicherbar wäre.

 

Obwohl der Abend nicht speziell auf die Assekuranz ausgerichtet war, war es interessant die Hintergründe zu dem IT-Sicherheitsgesetz persönlich erläutert zu bekommen. De Maizières Vortrag enthielt zahlreiche Anknüpfungspunkte, beispielsweise die Unterscheidung zwischen Safety und Security, Überlegungen zum sogenannten Identitätsdiebstahl aber auch zu Datenschutz und zur legitimen Datennutzung, zu denen ich mir in Bezug auf die Versicherungswirtschaft Gedanken machen und die ich sicherlich auch in kommenden Blogbeiträgen aufgreifen werde.


 

Vincent Wolff-Marting
Vincent Wolff-Marting ist seit 2013 bei den Versicherungsforen Leipzig, wo er die Leitung des Kompetenzteams »Digitalisierung & Innovation« übernommen hat. Nachdem er einige Jahre als wissenschaftlicher Mitarbeiter an den Universitäten Essen und Leipzig tätig war, bringt er nun sein fundiertes (IT-)Wissen in der Versicherungspraxis ein. Er ist Ansprechpartner für alle Themen im Bereich der Versicherungsinformatik, Digitalisierung und Innovation und begleitet Versicherungsunternehmen bei Strategie- und Entwicklungsprojekten.