IT-Sicherheitsgesetz: Bundeskabinett hat Entwurf beschlossen

IT-ManagementIT-ProjekteKarrierePolitikSicherheitSicherheitsmanagement
Bundestag (Bild: Shutterstock/Rostislav Ageev)

Mit dem Gesetz sollen Mindeststandards für die IT-Sicherheit geschaffen und eine Meldepflicht bei Sicherheitsvorfällen in Firmen eingeführt werden. Ziel ist vor allem der Schutz sogenannter kritischer Infrastrukturen und deren IT-Systemen. Zugleich räumt das Gesetz BSI und BKA mehr Befugnisse ein.

Das Bundeskabinett hat den seit dem Frühjahr diskutierten Entwurf eines IT-Sicherheitsgesetzes beschlossen. Mit ihr will die Regierung für einen besseren Schutz sogenannter kritischer Infrastrukturen, also der Energie- und Telekommunikationsnetzwerken sowie von für das funktionieren des Landes wesentlichen IT-Systemen sorgen. Die Ziele sollen mit Mindeststandards für die IT-Sicherheit und einer Meldepflicht bei Sicherheitsvorfällen in Firmen erreicht werden.

IT-Sicherheitsgesetz: Bundeskabinett hat Entwurf beschlossen (Bild: Shutterstock/Andrea Danti).

Der Entwurf für das IT-Sicherheitsgesetz soll laut Bundesregierung die Sicherheit von Unternehmen und der Bundesverwaltung erhöhen sowie den Schutz der Bürger im Internet verbessern. Dafür sollen unter anderem die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt werden.

Das BSI wird als zentrale Meldestelle vermehrt Beratungsfunktionen übernehmen und mit weiterreichenden Warnbefugnissen ausgestattet. Das BKA erhält weitreichendere Ermittlungszuständigkeiten für Computerdelikte, was insbesondere bei Online-Angriffen auf Einrichtungen des Bundes gilt.

Um die IT-Sicherheit im Internet zu erhöhen, werden darüber hinaus im Telekommunikations- und Telemedienrecht die Anforderungen an Diensteanbieter erhöht. Sie müssen Nutzer künftig über Störungen informieren, die von deren Systemen ausgehen, beispielsweise wen der Rechner Teil eines Botnetzes ist. Dies gilt allerdings nur dann, wenn der Anbieter den Nutzer kennt. Andernfalls müsste der Provider nämlich umfangreiche Verbindungs- und Standortdaten auswerten, um die Person zu ermitteln.

Einige umstrittene Passagen des ursprünglichen Entwurfs des Bundesinnenminsteriums wurden inzwischen aus der finalen Fassung gestrichen. Dazu gehört etwa ein Zusatzparagraf zum Telemediengesetz, der Diensteanbietern zur Störungsbekämpfung eine halbjährige Aufbewahrungsfrist für Nutzerdaten einräumte. Datenschützer und Bürgerrechtler kritisierten das als neue Form der Vorratsdatenspeicherung. Auch dass das BSI zwar Informationen zu Sicherheitsvorfällen erhält, diese aber nicht veröffentlichen muss, wurde von Experten kritisch gesehen.

Der Bitkom ist mit dem vom Bundeskabinett verabschiedeten Entwurf zum IT-Sicherheitsgesetz grundsätzlich zufrieden: “Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten”, sagte Bitkom-Präsident Dieter Kempf. “Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.”

Andernfalls hatten die Unternehmen Reputationsverluste befürchtet und Kritiker geargwöhnt, dass die Bereitschaft zur Meldung reduziert wird. Der Bitkom begrüßt zudem, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der Branchen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

Allerdings sieht der Verband auch noch es zahlreiche Unsicherheiten, wenn es dann an die konkreten Umsetzung der Vorgaben des Gesetzes gehe. So sei noch unklar, für welche Unternehmen das Gesetz tatsächlich gilt und welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden.

Der Verband der deutschen Internetwirtschaft e.V. (eco) sieht zudem noch ungeklärte Fragen im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie (NIS-Richtlinie). “Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‘Vorpreschen’ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend”, sagte Oliver Süme, eco-Vorstand Politik und Recht. Er fordert europaweit einheitliche Regelungen und Standards.

Der heute beschlossene Regierungsentwurf muss jetzt noch Bundestag und Bundesrat passieren. Dabei könnte es noch zu Änderungen kommen.

[mit Material von Björn Greif, ZDNet.de]

Tipp:

Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen