Der LBS - Landesverband Bayerischer Spediteure e.V. warnt vor der pauschalen Einbeziehung der Branche in das IT-Sicherheitsgesetz. Dieser Gesetzentwurf sieht im Kern vor, dass Betreiber sogenannter „kritischer Infrastrukturen" bestimmte Mindeststandards an IT-Sicherheit einhalten, alle zwei Jahre IT-Sicherheitsprüfungen vornehmen lassen und Cyberattacken an das Bundesamt für Sicherheit in der Informationstechnik melden müssen.
„Kritische Infrastrukturen" sind laut Gesetzesentwurf Einrichtungen, die den Sektoren (...) Transport und Verkehr (...) angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Speditions- und Logistikbranche ist aber charakterisiert durch das Zusammenspiel vieler kleiner und mittlerer Unternehmen. Transporte verteilen sich auf eine sehr große Zahl von Unternehmen. In der Folge bleibt auch beim Ausfall einzelner oder mehrerer Unternehmen (und sogar beim Ausfall einzelner Transportwege) die Versorgungssicherheit erhalten. Beispiel ist der Streik der Lokomotivführer im November 2014. Obwohl der Güterverkehr massiv beeinträchtigt war, gab es keine Versorgungsengpässe.
„Wir fordern deshalb, die Speditions- und Logistikbranche aus dem IT-Sicherheitsgesetz herauszunehmen", sagt Edina Brenner, Geschäftsführerin des LBS, „anderweitig befürchten wir durch die entstehenden Auflagen eine Wettbewerbsverzerrung zu Lasten der deutschen Unternehmen".
Zumal der Sinn des Gesetzentwurfes in seiner jetzigen Form bezweifelt werden darf. Eine Verpflichtung für Unternehmen, Beeinträchtigungen ihrer IT-Infrastruktur melden zu müssen, kann nur gefordert werden, wenn dies zu einer konkreten Verbesserung der IT-Sicherheit führt. Unklar ist aber beim vorliegenden Gesetzentwurf wie nicht spezifizierte Meldungen zu einem Sicherheitslagebild beitragen können. Unternehmen sollten grundsätzlich die Möglichkeit haben, IT-Beeinträchtigungen zunächst intern zu analysieren, Fehlerquellen aufzudecken und Gegenmaßnahmen einzuleiten.
Andernfalls stellt der administrative Aufwand, um die umfangreichen Meldeverpflichtungen zu erfüllen, eine ressourcen- und kostenintensive Mehrbelastung für Unternehmen dar, ohne einen Mehrwert für die Sicherheit zu leisten. Eine Meldepflicht birgt außerdem die Gefahr, dass wettbewerbsrelevante Daten der Unternehmen nicht mit der nötigen Diskretion behandelt werden.
Grundsätzlich befürwortet der LBS die Diskussion der Bundesregierung zum Thema IT-Sicherheit. Schon um das eigene Geschäft zu schützen, sind die Speditions- und Logistikunternehmen an angemessenen Sicherheitsvorkehrungen interessiert. „Freiwillige Lösungen wie beispielsweise die „Allianz für Cyber-Sicherheit" sind hier der Königsweg. Sie fördern die Zusammenarbeit sowie das gegenseitige Vertrauen. Dagegen greifen sie nicht unnötig in die unternehmerische Freiheit und in Geschäftsprozesse ein", sagt Brenner.