Befürwortet: Sanktionen bei Nichtmeldung


IT-Sicherheitsgesetz: Zurich fordert Ausweitung der Meldepflicht
"Wer über das Netz angegriffen wird, muss das auch melden - Sonst ist ein Gesetz kein Gesetz, sondern nur eine Empfehlung"

(14.07.15) - Die Zurich Versicherung begrüßt die Beschlussempfehlung des Bundestages zum IT-Sicherheitsgesetz im Grundsatz, weist aber darauf hin, dass dies nur ein erster Schritt zu einem transparenteren Verständnis für Cyber-Risiken ist. So fordert der Versicherer langfristig vor allem verbindliche Sicherheitsstandards und eine Ausweitung der Meldepflicht für alle Unternehmen. "Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können," betont Miriam Marx, Cyber-Expertin bei Zurich. "Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf 'kritische' Branchen zu setzen, reicht längst nicht aus. Vor allem dann, wenn diese nicht klar definiert sind."

Die Bundesregierung hatte das IT-Sicherheitsgesetz aufgesetzt, um eine einheitliche Meldestruktur für alle kritischen Branchen vorzuschreiben. Welche Unternehmen damit aber genau gemeint sind, wurde bisher nicht festgelegt. Lediglich die Branchen Finanzwirtschaft, Energie, Wasser, Telekommunikation, IT- Technik, Transport- und Verkehr sowie Gesundheitswesen wurden benannt. Mit dem nun verkündeten Beschluss, sind die Unternehmen verpflichtet, alle zwei Jahre Audits zur Aktualität ihrer IT und Technik nachzuweisen.

Die kürzlich verabschiedete Gesetzesänderung im Hinblick auf Sanktionen bei einer Nichtmeldung eines Angriffes, befürwortet Miriam Marx sehr: "Wer über das Netz angegriffen wird, muss das auch melden. Sonst ist ein Gesetz kein Gesetz, sondern nur eine Empfehlung." Ziel des IT-Sicherheitsgesetz sei es laut der Expertin doch schließlich, bewusster mit Cyber-Risiken umzugehen und die Experten des Bundesamt für Sicherheit in der Informationstechnik (BSI) über Angriffe zu informieren. "Es ist folglich nur richtig, dass eine Nichtanzeige betraft wird", so Marx.

Auch die Versicherungsbranche kann laut der Zurich Expertin ihren Beitrag zur Optimierung des Gesetzes beitragen. "Unser Geschäft ist das Kalkulieren von Risiken und die Definition von Sicherheitsstandards, um diesen entgegenzutreten. Als Versicherer können wir nicht nur im Schadensfall unterstützen, sondern bereits präventiv zur IT-Sicherheit beitragen."

Verantwortung für IT-Sicherheit kann nicht ausgelagert werden Anders als Arbeitsprozesse, kann die Verantwortung für IT-Sicherheit nicht ausgelagert werden. Kommt es durch den Einsatz von Spyware zu einem elektronischen Diebstahl von Kundendaten, muss das Unternehmen voll für jegliche entstandenen Schäden aufkommen. Der Verlust von tausenden von Datensätzen kann zu existenzbedrohenden Vermögenseinbußen führen. Jedes Unternehmen, das Daten verarbeitet oder speichert, seien es Daten von Arbeitnehmern, Kunden, Zulieferern oder Geschäftspartnern, ist diesen potenziellen Kostenrisiken aufgrund von Verletzungen der Vertraulichkeit oder des Datenschutzes ausgesetzt. Zurich hat dieses Risiko früh erkannt und bereits 2013 eine Absicherungsmöglichkeit entwickelt, die vor Cyber-Risiken schützen soll. Mit der "Zurich Cyber & Data Protection" bietet der Versicherer ein eigenständiges Produkt, das sowohl die finanziellen Folgen durch externe Angriffe, etwa durch Hacker, als auch das Fehlverhalten von Mitarbeitern in Bezug auf Datensicherheit abdeckt. (Zurich Gruppe: ra)

Zurich: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

Verfassungsrechtliche Bedenken nicht ausgeräumt IT-Sicherheitsgesetz zu unbestimmt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen