IT-Sicherheitsgesetz: Bundeskabinett beschließt Entwurf

Deutscher Reichstag in Berlin. (Bild: Andre Borbe)

Mindeststandards und Meldepflicht: Das IT-Sicherheitsgesetz sieht einen erhöhten Schutz für kritische Infrastrukturen und IT-Systeme vor. Zugleich erhalten BSI und BKA durch das Gesetz eine gestärkte Stellung. Einige strittige Passagen hat das Kabinett gestrichen.

Für einen besseren Schutz kritischer Infrastrukturen sowie von IT-Systemen hat das Bundeskabinett am Mittwoch einen Entwurf für ein IT-Sicherheitsgesetzt beschlossen. Das im März auf den Weg gebrachte Gesetz sieht Mindeststandards für die IT-Sicherheit und eine Meldepflicht von Sicherheitsvorfällen für Firmen vor.

Bundesinnenminister Thomas de Maizière will neue Datenschutzregelungen für Nutzerdaten. Bild: BPA/Jesco Denzel
“Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild”, sagt Bundesinnenminister Thomas de Maizière. (Bild: BPA/Jesco Denzel)

Bundesinnenminister Thomas de Maizière sagte bei der Präsentation des Gesetzes in Berlin: “Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild. Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.” Es sei sorgfältig vorbereitet und umfänglich beraten.

Mit dem Entwurf zum IT-Sicherheitsgesetz will die Bundesregierung nach eigener Aussage die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet verbessern. Für diesen Zweck sollen unter anderem die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt werden.

Das BSI erhält demnach weiterreichenden Warnbefugnissen und soll als zentrale Meldestelle vermehrt Beratungsfunktionen bereitstellen. Darüber hinaus verfügt das BKA künftig über erweiterte Ermittlungszuständigkeiten im Bereich der Computerdelikte. Dies gilt vor allem für den Fall von Online-Angriffen auf Einrichtungen des Bundes.

Anbieter müssen Nutzer über Störungen informieren

Außerdem sollen die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienrecht erhöht werden, um die IT-Sicherheit im Internet zu steigern. In Zukunft müssen sie Nutzer über Störungen informieren, die von deren Systemen ausgehen, beispielsweise durch Botnetze.

Das gilt jedoch nur, wenn der Anbieter den Nutzer schon kennt. Ansonsten müsste der Provider umfangreiche Verbindungs- und Standortdaten auswerten, um den Betroffenen zu ermitteln.

Umstrittene Passagen gestrichen

Nach Rücksprache mit dem Bundesjustizministerium befinden sich nun einige umstrittene Passagen des ursprünglichen Entwurfs des Bundesinnenminsteriums nicht mehr in der finalen Fassung des IT-Sicherheitsgesetzes.

Datenschützer und Bürgerrechtler sahen in einem jetzt entfernten Zusatzparagrafen zum Telemediengesetz, der Diensteanbietern zur Störungsbekämpfung eine halbjährige Aufbewahrungsfrist für Nutzerdaten einräumte, eine neue Form der Vorratsdatenspeicherung.

Der Hightech-Verband Bitkom zeigt sich mit dem jetzt vom Bundeskabinett verabschiedeten Entwurf zum IT-Sicherheitsgesetz grundsätzlich zufrieden: “Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten”, sagte Bitkom-Präsident Dieter Kempf. “Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.”

Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert. Ebenfalls positiv sieht der Bitkom, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

IT-Sicherheitsgesetz lässt Fragen offen

Oliver Sueme, eco-Vorstand Politik und Recht. (Bild: eco)
Oliver Sueme, eco-Vorstand Politik und Recht, ist der Meinung, dass die Regierung “Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben” vermeiden müsse. (Bild: eco)

Allerdings gebe es bei der konkreten Umsetzung des Gesetzes noch zahlreiche Unsicherheiten. So sei noch unklar, für welche Unternehmen das Gesetz tatsächlich gilt und welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden.

Der Verband der deutschen Internetwirtschaft e.V. (eco) sieht noch offene Fragen im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk und Informationssicherheit (NIS-Richtlinie).

“Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‘Vorpreschen’ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt”, sagte Oliver Süme, eco-Vorstand Politik und Recht. Stattdessen müssten europaweit einheitliche Regelungen und Standards geschaffen werden.

Als nächstes muss der beschlossene Regierungsentwurf Bundestag und Bundesrat passieren. Dabei könnte es noch zu Änderungen kommen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de