Für einen besseren Schutz kritischer Infrastrukturen sowie von IT-Systemen hat das Bundeskabinett am Mittwoch einen Entwurf für ein IT-Sicherheitsgesetzt beschlossen. Das im März auf den Weg gebrachte Gesetz sieht Mindeststandards für die IT-Sicherheit und eine Meldepflicht von Sicherheitsvorfällen für Firmen vor.
Bundesinnenminister Thomas de Maizière sagte bei der Präsentation des Gesetzes in Berlin: “Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild. Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.” Es sei sorgfältig vorbereitet und umfänglich beraten.
Mit dem Entwurf zum IT-Sicherheitsgesetz will die Bundesregierung nach eigener Aussage die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet verbessern. Für diesen Zweck sollen unter anderem die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt werden.
Das BSI erhält demnach weiterreichenden Warnbefugnissen und soll als zentrale Meldestelle vermehrt Beratungsfunktionen bereitstellen. Darüber hinaus verfügt das BKA künftig über erweiterte Ermittlungszuständigkeiten im Bereich der Computerdelikte. Dies gilt vor allem für den Fall von Online-Angriffen auf Einrichtungen des Bundes.
Außerdem sollen die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienrecht erhöht werden, um die IT-Sicherheit im Internet zu steigern. In Zukunft müssen sie Nutzer über Störungen informieren, die von deren Systemen ausgehen, beispielsweise durch Botnetze.
Das gilt jedoch nur, wenn der Anbieter den Nutzer schon kennt. Ansonsten müsste der Provider umfangreiche Verbindungs- und Standortdaten auswerten, um den Betroffenen zu ermitteln.
Nach Rücksprache mit dem Bundesjustizministerium befinden sich nun einige umstrittene Passagen des ursprünglichen Entwurfs des Bundesinnenminsteriums nicht mehr in der finalen Fassung des IT-Sicherheitsgesetzes.
Datenschützer und Bürgerrechtler sahen in einem jetzt entfernten Zusatzparagrafen zum Telemediengesetz, der Diensteanbietern zur Störungsbekämpfung eine halbjährige Aufbewahrungsfrist für Nutzerdaten einräumte, eine neue Form der Vorratsdatenspeicherung.
Der Hightech-Verband Bitkom zeigt sich mit dem jetzt vom Bundeskabinett verabschiedeten Entwurf zum IT-Sicherheitsgesetz grundsätzlich zufrieden: “Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten”, sagte Bitkom-Präsident Dieter Kempf. “Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.”
Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert. Ebenfalls positiv sieht der Bitkom, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.
Allerdings gebe es bei der konkreten Umsetzung des Gesetzes noch zahlreiche Unsicherheiten. So sei noch unklar, für welche Unternehmen das Gesetz tatsächlich gilt und welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden.
Der Verband der deutschen Internetwirtschaft e.V. (eco) sieht noch offene Fragen im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk und Informationssicherheit (NIS-Richtlinie).
“Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‘Vorpreschen’ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt”, sagte Oliver Süme, eco-Vorstand Politik und Recht. Stattdessen müssten europaweit einheitliche Regelungen und Standards geschaffen werden.
Als nächstes muss der beschlossene Regierungsentwurf Bundestag und Bundesrat passieren. Dabei könnte es noch zu Änderungen kommen.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…