BSI-Befragung: IT-Sicherheitsgesetzes 2.0 kommt gut an
In einer kollaborativen Initiative zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einem spezialisierten Dienstleister für Markt- und Meinungsforschung wurde im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) eine umfassende Erhebung bei Betreibern Kritischer Infrastrukturen (KRITIS) durchgeführt. Ziel dieser Untersuchung war die Bewertung der Effektivität der gesetzlichen Maßnahmen gemäß dem IT-Sicherheitsgesetz.
Im Zeitraum vom 21. Februar 2023 bis zum 10. März 2023 nahmen Betreiber Kritischer Infrastruktur aktiv an der Online-Befragung zur Evaluierung des IT-Sicherheitsgesetzes 2.0 teil. Die beeindruckende Beteiligungsrate von über 45 Prozent unterstreicht die hohe Relevanz, die dem Thema IT-Sicherheit und den entsprechenden gesetzlichen Vorgaben beigemessen wird.
Ein zentrales Ergebnis der Befragung ist die hohe Akzeptanz des BSI-Gesetzes bei den Betreibern Kritischer Infrastrukturen. Neun von zehn Betreibern halten die Maßnahmen für sinnvoll, während drei Viertel einen positiven Einfluss auf die IT-Sicherheit in ihren Unternehmen bestätigen. Die Umfrage verdeutlicht auch, dass das Thema Informationssicherheit im Kontext der Digitalisierung für nahezu alle Betreiber von Anfang an eine zentrale Rolle spielt.
Weitere Ergebnisse der Untersuchung zeigen beispielsweise, dass technische Sicherheitsmaßnahmen, insbesondere VPN und Zugangskontrollen, von den meisten Unternehmen bereits weitgehend implementiert sind. Kleinere Lücken bestehen noch bei der Umsetzung von Client-Isolation, DDoS-Mitigation und sicherer Software-Entwicklung. Hierbei zeigen sich Großunternehmen im Allgemeinen fortschrittlicher als kleine und mittlere Unternehmen.
In Bezug auf organisatorische Sicherheitsmaßnahmen besteht laut der Befragung noch Aufholbedarf. Während die Aufrechterhaltung des Informationsstandes und Mitarbeitersensibilisierung weit verbreitet sind, gibt es noch Defizite bei der Einführung von Security Operations und sicherer Dokumentenerstellung.
Besonders hervorzuheben ist, dass Energie- und Telekommunikationsunternehmen (EnWG/TKG-Betreiber) in der Umsetzung technischer Maßnahmen einen leichten und bei organisatorischen Maßnahmen einen deutlichen Vorsprung gegenüber anderen KRITIS-Unternehmen haben.