Bundestag beschließt IT-Sicherheitsgesetz

Deutscher Reichstag in Berlin. (Bild: Andre Borbe)

Die Reaktionen auf das neue Gesetz fallen gemischt aus. Durch neue Meldepflichten von Cyberangriffen und strengere Sicherheitsstandards für “wichtige” Unternehmen sehen einzelne Verbände eine neue Bürokratie-Bürde sowie Rechtsunsicherheit vor allem für den IT-Mittelstand.

Der Bundestag hat das IT-Sicherheitsgesetz beschlossen. Das berichtet die Tagesschau. Es verpflichtet “wichtige” Unternehmen, wie Energieunternehmen, Banken oder Krankenhäuser, Cyberangriffe dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Sollten sie dem nicht nachkommen, drohen Bußgelder bis zu 100.000 Euro. Zudem müssen die Computersysteme in solchen Einrichtungen bestimmte Mindestanforderungen erfüllen, die das BSI vorschreibt.

Vor allem kritische Infrastrukturen, deren Ausfall oder Störung erhebliche Auswirkungen auf die Gesellschaft hätten, sind vom IT-Sicherheitsgesetz betroffen. Dazu zählen der Energie- und Gesundheitssektor, die Wasserversorgung, die Telekommunikation und das Finanz- und Versicherungswesen.

Etwa 2000 Unternehmen müssen der Tagesschau zufolge Cyberattacken dem BSI melden. Die Meldungen erfolgen anonym. Das Bundesamt wertet die Informationen aus und erstellt daraus ein Lagebild. Dieses dient zur Warnung von anderen unternehmen.

Rechtsunsicherheit für IT-Mittelstand

Der Bundesverband IT-Mittelstand e.V. (BITMi) zeigt sich enttäuscht von dem Gesetz. Für den IT-Mittelstand schaffe die Regierungskoalition zusätzliche Bürokratie und Rechtsunsicherheit, sagte Oliver Grün, Präsident des BITMi.

“Es stellt einen unnötigen nationalen Alleingang Deutschlands dar, der speziell mittelständische IT-Unternehmen vor größere Herausforderungen stellt, beispielsweise bei 24/7 Verfügbarkeit für so genannte kritische Infrastrukturen oder der zusätzlichen Unsicherheit bei der gesetzlichen Verpflichtung zur IT-Sicherheit.”

Oliver Grün, Präsident BITMi. (Bild: Bundesverband IT-Mittelstand)
BITMi-Präsident Oliver Grün kritisiert das IT-Sicherheitsgesetz der Bundesregierung. (Bild: Bundesverband IT-Mittelstand)

Auch die geplante Vorratsdatenspeicherung kritisiert Grün: “Wir erleben heute im Bundestag neben dem IT-Sicherheitsgesetz auch die Vorratsdatenspeicherung in erster Lesung. Dies ist ein weiterer Alleingang der Bundesregierung, der den IT-Mittelstand teuer kommen wird, ohne dass er die Sicherheit für Bürger, Wirtschaft oder Staat verbessert. Die Bundesregierung übt sich in kopflosem Aktionismus und muss in Sachen IT-Sicherheit dringend nachholen. Denn das Lehrgeld zahlt nachher der deutsche IT-Mittelstand.”

Eco fordert präzise Definition

Der Verband der deutschen Internetwirtschaft e.V. (eco), begrüßt, dass einige Änderungen in das IT-Sicherheitsgesetz aufgenommen wurden. Zudem fordert der Verband eine präzise Definition von kritischen Sektoren und deren Branchen. Der Fokus müsse eindeutig auf kritische Versorgungsdienstleistungen und die Betreiber kritischer Infrastrukturen, so Oliver Süme, eco-Vorstand Politik & Recht

“eco wird sich in diesem Zusammenhang weiter für eine stärkere Verpflichtung bislang nicht regulierter Branchen einsetzen. Die weitere Belastung von Internet- und Telekommunikationsunternehmen lehnen wir nach vor ab”, so Süme.

Ausweitung der Meldepflicht

Der Zurich Versicherung geht die Meldepflicht des IT-Sicherheitsgesetzes nicht weit genug. “Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können”, betont Miriam Marx, Cyberexpertin bei Zurich. “Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf ‘kritische’ Branchen zu setzen, reicht längst nicht aus. Vor allem dann, wenn diese nicht klar definiert sind.”

Überwiegend positiv

Der Digitalverband Bitkom steht den geplanten Strafen im IT-Sicherheitsgesetz kritisch gegenüber. “Die Androhung von Strafen macht keinen Sinn, wenn nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen“, sagte Bitkom-Sicherheitsexperte Marc Bachmann.

Allerdings bewertet der Verband positiv, dass auch die Bundesverwaltung unter den Geltungsbereich des Gesetzes fallen soll. Unter dem Strich überwiegen für den Bitkom die Vorteile des Gesetzes. “Die Betreiber kritischer Infrastrukturen werden in die Pflicht genommen, den Schutz vor Cyberangriffen zu erhöhen und ihre IT-Sicherheitsmaßnahmen auf dem neuesten Stand zu halten“, so Bachmann weiter. Das könne mittelfristig das Schutzniveau in der Wirtschaft insgesamt erhöhen.

Mehr Befugnisse für BSI

Das IT-Sicherheitsgesetz erweitert darüber hinaus die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.

Bundesinnenminister Thomas de Maizière. (Bild: BPA/Jesco Denzel)
“Heute ist ein guter Tag für mehr Sicherheit und Vertrauen im Internet”, kommentiert Bundesinnenminister Thomas de Maizière den Beschluss desIT-Sicherheitsgesetzes. (Bild: BPA/Jesco Denzel)

“Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cyber-Sicherheit immer mehr zu einem zentralen Baustein der Inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. Mit dem heute vom Deutschen Bundestag verabschiedeten IT-Sicherheitsgesetz kommen wir bei der Stärkung unserer IT-Systeme einen wichtigen Schritt voran. Heute ist ein guter Tag für mehr Sicherheit und Vertrauen im Internet”, kommentierte Bundesinnenminister Thomas de Maizière das Gesetz

Cyberangriff auf Bundestag

Nach einem großangelegten Angriff auf das Netzwerk des Bundestages müssen Teile der Infrastruktur ausgetauscht werden, das habe Bundestagspräsident Nobert Lammert den Abgeordneten in einer E-Mail mitgeteilt, berichtet Spiegel Online.

Zuvor hieß es, dass das gesamte Netzwerk ersetzt werden müsste. Am 8. Mai entdeckte die IT-Abteilung des Bundestages den Angriff auf das Netzwerk. Offenbar konnten Cyberkriminelle Malware einschleusen und seit Monaten die Systeme infiltrieren. Dem Bericht zufolge gelang es ihnen, den sogenannten Verzeichnisdienst des Bundestages zu übernehmen. Dieser fasst alle Rechner des Parlaments – rund 20.000 – in einem Netzwerk zusammen.

Die Angreifer haben Administratorenrechte erlangt und können somit ohne Probleme auf alle Computer sowie Zugangsdaten von Abgeordneten und Bundestagsmitarbeitern zugreifen. Davon seien aber die Dokumente des NSA-Untersuchungsausschusses, ein System in der als geheim eingestufte Dokumente des Bundestages verwahrt werden sowie die Rechner der Personalverwaltung ausgeschlossen. Diese drei verwendeten “besonders gesicherte Netzwerke”.