Netz- und Sicherheitspolitik

Cyberangriffe nach IT-Sicherheitsgesetz meldepflichtig
Kommentare

Das Bundeskabinett hat jetzt einen Entwurf für das IT-Sicherheitsgesetz beschlossen. Es besagt, dass Cyberangriffe in Zukunft im Sinne des Gemeinwohls gemeldet werden müssen. Die IT-Wirtschaft begrüßt den Beschluss, doch es gibt auch Kritik.

Deutschland soll Vorreiter in IT-Sicherheit werden

Die digitalen Infrastrukturen und das Internet in Deutschland sollen die sichersten in Europa werden. Das ist das Ziel IT-Sicherheitsgesetzes, das ein Teil der Digitalen Agenda darstellt. In dem Entwurf, der gestern vom Bundeskabinett beschlossen wurde gab es einige Änderungen zu Maizières ursprünglichem Plan. So heißt es im Gesetzentwurf:

„Insbesondere Betreiber kritischer Infrastrukturen sind wegen der weitreichenden gesellschaftlichen Folgen, die ein Ausfall oder eine Beeinträchtigung ihrer Infrastrukturen nach sich ziehen kann, und ihrer inso- weit besonderen Verantwortung für das Gemeinwohl zu verpflichten, ein Mindestniveau an IT-Sicherheit einzuhalten und dem BSI IT-Sicherheitsvorfälle zu melden.“

Besserer Informationsaustausch zum Schutz von „kritischen Infrastrukturen“

Bei den kritischen Infrastrukturen handelt es sich zum Beispiel um Einrichtungen und Unternehmen von Energieversorgung, Verkehr, Gesundheitswesen aber auch Banken und Versicherungen fallen in diese Sparte. Die kritischen Infrastrukturen seien „für das Gemeinwesen von zentraler Bedeutung“ heißt es in einer Pressemitteilung der Bundesregierung weshalb deren Netze und Daten besonders geschützt werden müssen.

Ein zentraler Punkt in dem Gesetzentwurf ist die Meldepflicht von Cyberangriffen beim dafür zuständigen BSI (Bundesamt für Sicherheit in der Informationstechnik). Hierdurch soll ein besserer Informationsaustausch über die aktuellen Bedrohungen aus dem Netz entstehen und andere Unternehmen sollen sich schneller und besser gegen die Angriffe schützen können. Damit die Cyberkriminellen ausfindig gemacht werden können, arbeitet das BSI an dieser Stelle mit dem Bundeskriminalamt zusammen.

IT-Branche sieht Gesetzentwurf positiv

Auch der Hightech-Verband BITKOM begrüßt das Gesetz. Vor allem die Tatsache, dass die Meldungen der Sicherheitsvorfälle in anonymer Form geschieht, sehe die IT-Branche positiv. So werden Reputationsverluste für die Unternehmen vermieden, was wiederum die Bereitschaft zur Meldung steigert.  Auch die Tatsache, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird, ist ein Schritt in die richtige Richtung. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

IT-Sicherheitsgesetz mit erheblichen Kosten verbunden

Es gibt jedoch auch kritische Stimmen zu dem neuen Gesetzesentwurf. So wird es die Bunderegierung eine erhebliche Summe kosten, das Gesetz und die damit verbundenen Maßnahmen zu implementieren. Je nach dem wie viele Unternehmen tatsächlich von schwerwiegenden Cyberangriffen betroffen sein werden, rechnet der BITKOM mit bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kommen Investitionen für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Auf der anderen Seite wird das neue Gesetz um die 420 neue Stellen schaffen.

Welche Unternehmen und Vorfälle sind überhaupt relevant?

Des Weiteren ist es noch unklar, welche Unternehmen genau in die Kategorie der kritischen Infrastrukturen fallen. Momentan rechne die Bundesregierung mit etwa 2000. Darüber hinaus ist noch nicht festgelegt, welche Sicherheitsvorfälle überhaupt meldepflichtig sein werden. Diese Rahmenbedingungen müssen also erst mal noch geklärt werden.

Flickenteppich: IT-Gesetze in Europa

Auch der Verband der deutschen Internetwirtschaft, genannt eco, sieht vor allem auf europäischer Ebene noch Probleme. Deutschland wolle zwar eine Vorreiterrolle übernehmen, trotzdem sei es sinnvoller für Europa einheitliche Regelungen zu finden, um hier die allgemeine IT-Sicherheit zu verbessern. Wenn jedes Land seine eigenen Sicherheitsgesetze veröffentliche, komme es zu einem „Flickenteppich aus nationalen Regelungen“ so Oliver Sühne, eco Vorstand in Politik und Recht.

Wer muss für Sicherheit sorgen?

Außerdem wird kritisiert, dass vor allem die Internet und Telemediendienste zusätzliche Verpflichtungen aufgelegt bekommen. Es sollen „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen“ heißt es in dem Gesetzentwurf. Der eco sieht mehr die „kritischen“ Unternehmen in der Pflicht, für die eigene Cybersicherheit zu sorgen.

Vorratsdatenspeicherung aus Gesetzentwurf gestrichen

Die Vorratsdatenspeicherung von User-Daten wurde aus dem neuen Gesetzentwurf gestrichen. In dem ursprünglichen Dokument hieß es noch, dass „Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden“. Nach dem neuen Beschluss sollen die Anbieter aber durch Technologie und Verschlüsselungstechniken dafür sorgen, dass die Netzwerke geschützt sind. Das Streichen der Vorratsdatenspeicherung wird zwar vom eco positiv bewertet, die Gewerkschaft der Polizei sieht hier allerdings ein Problem. Zur Ermittlung der Cyberdelikte benötige die Polizei Zugriff auf die Verbindungsdaten.

 

Aufmacherbild: flag of the Federal Republic of Germany is waving in front of the national german parliament, vintage style, Flagge der Bundesrepublik Deutschland vor dem Reichstag, Sitz des deutschen Bundestages via Shutterstock / Urheberrecht: AR Pictures

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -