Abstract

Gesetzgeber in vielen Ländern planen, auf mangelnde IT-Sicherheit in der Privatwirtschaft mit der Einführung von Meldepflichten für IT-Sicherheitsvorfälle zu reagieren. Dieser Beitrag betrachtet Meldepflichten in einem Prinzipal-Agent-Modell. Marktteilnehmer (Agenten) haben wenig Anreize, IT-Sicherheitsvorfälle unilateral zu melden. Dem könnte der Staat (Prinzipal) durch zusätzliche Audits begegnen. Allerdings können Audits nicht zwischen strategischem Verschweigen und ehrlicher Unwissenheit des Agenten differenzieren. Deshalb könnte es schwierig werden, die Sanktionen so zu justieren, dass sich insgesamt ein positiver Wohlfahrtseffekt einstellt. Die Einführung von Meldepflichten ist zudem nur unter optimistischen Annahmen zur Verwertung gemeldeter IT-Sicherheitsvorfälle sinnvoll.

Share

COinS