Das IT-Sicherheitsgesetz
Sicherste Infrastruktur der Welt
Die Bundesregierung hat sich in ihrem Koalitionsvertrag auf die Etablierung eines IT-Sicherheitsgesetzes geeinigt. Das Ziel: Deutschland soll „die sicherste IT-Infrastruktur der Welt“ bekommen. Um dieses Ziel zu erreichen, will das IT-Sicherheitsgesetz für besseren Schutz vor Hackerangriffen sorgen. Nachdem bereits Amtsvorgänger Hans-Peter Friedrich einen ersten Entwurf ad acta legen musste, wagt Bundesinnenminister Thomas de Maizière mit seinem überarbeiteten Entwurf einen neuen Vorstoß.
Der Staat soll informiert werden
Das Bundesinnenministerium will unter anderem regeln, wie Unternehmen mit Cyberangriffen umzugehen haben: Diese sollen verpflichtend und „unverzüglich“ an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Auf diese Weise könnte sich der Staat ein „umfassendes Bild über die aktuelle Gefahrenlage im Netz“ verschaffen, nicht aber der Bürger. Denn eine Auskunftspflicht besteht nicht.
Tritt das Gesetz in Kraft, würde es ausgewählte Unternehmen der Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen als Betreiber kritischer Infrastrukturen betreffen. Um Reputationsverluste zu vermeiden, sollen sicherheitsrelevante Vorfälle weitgehend anonym übermittelt werden können – jedoch nur dann, wenn es sich nicht um Ausfälle oder Störungen der jeweiligen Netze handelt.
Eckpunkte des IT-Sicherheitsgesetzes
Der Entwurf des IT-Sicherheitsgesetzes ist 59 Seiten stark. Wir haben die Kerninhalte an dieser Stelle für Sie zusammengefasst:
- Neben der gesetzlichen Meldepflicht von Angriffen und Vorfällen soll auch die Einhaltung sogenannter „IT-Mindestsicherheitsstandards“ durch die Wirtschaft geregelt werden.
- Für Telekommunikationsanbieter sollen höhere IT-Sicherheitsstandards gelten. Darüber hinaus wird ihnen eine Meldepflicht auferlegt, ihre Kunden über Sicherheitsvorfälle zu informieren. Im gleichen Atemzug müssen sie Lösungsvorschläge erarbeiten, wie die damit einhergehende Schäden bei IT-Anwendungssystemen, beispielsweise Computer oder mobilen Endgeräten, behoben werden können.
- Verbindliche Vorgaben für das Schutzniveau der IT-Systeme des Bundes durch das BSI.
- Stärkung der Rolle des BSI: Das BSI erhält klarere Warnbefugnisse und soll als internationale Zentralstelle für IT-Sicherheit etabliert werden. Damit geht eine erhebliche Vergrößerung der Behörde um 133 Stellen – bei derzeit rund 600 – einher.
- Das BKA soll bundesweit auch für Cyberangriffe zuständig sein. Dafür sind 79 neue Stellen geplant.
- Organisatorische und strategische Stärkung des Verfassungsschutzes. Ziel ist, dass der Verfassungsschutz stärker zur IT-Sicherheit beiträgt und für Cyberspionage in der Wirtschaft sensibilisiert wird. Die neuen Aufgaben des Verfassungsschutzes werden in diesem Zusammenhang an keiner Stelle des Gesetzesentwurfes erläutert, wenngleich hier 55 neue Stellen entstehen sollen.
Pro und Contra
Nationaler Alleingang?
In der deutschen Wirtschaft wird das IT-Sicherheitsgesetz heiß diskutiert. Während es der Verband der deutschen Internetwirtschaft eco zwar grundsätzlich die Pläne begrüßt „Deutschland zum führenden Standort im Bereich IT-Sicherheit auszubauen“, lehnt er den Vorstoß des Innenministers als „nationalen Alleingang“ ab. Die Begründung: Die Betreiber der im Gesetzesentwurf als „kritisch“ bezeichneten Infrastrukturen seien oft europa- oder weltweit tätig. Eine nationale Lösung sei deshalb wenig hilfreich.
Der Hightech-Verband Bitkom dagegen sieht nicht so schwarz. Im Gegenteil: Bitkom lobt ausdrücklich den vorgesehenen Einbezug der Wirtschaft zur Ausgestaltung des Gesetztes, fordert jedoch gleichzeitig Unterstützung „für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit“.
Fazit
IT-Sicherheit kennt keine Kompromisse
Die Dimension der elektronischen Massenüberwachung hat viele geschockt – worauf Sie künftig achten sollten, erfahren Sie in diesem Artikel: Ihre Unternehmensdaten im Visier
Der bessere Schutz von Unternehmen, Bürgern und Staat vor digitalen Übergriffen ist notwendig und überfällig. Dennoch bleiben auch wir mit Fragen zurück. Denn gerade die zentrale Begrifflichkeit „kritische Infrastrukturen“ wird nicht weiter definiert. Welche Unternehmen sind also tatsächlich vom Geltungsbereich des Gesetzes betroffen? Welche Sicherheitsvorfälle gelten als so relevant, dass sie gemeldet werden müssen? Wir hoffen auf Nachbesserung.
Außer mit regelmäßigen Audits und Reportings über die Erfüllung der Mindeststandards zur IT-Sicherheit werden größere Unternehmen wohl kaum zusätzlich „belastet“. Denn bestehende Branchenstandards für die IT-Sicherheit werden – auf Antrag – wohl durch das BSI anerkannt. Anders stellt sich sicherlich die Situation für Mittelständler dar. Auf viele werden zusätzliche Kosten zukommen, um das geforderte Mindestsicherheitslevel zu erreichen.
1 Kommentar