Bundeskabinett beschließt Entwurf zum IT-Sicherheitsgesetz

Das Bundeskabinett hat heute den im März auf den Weg gebrachten Entwurf für ein IT-Sicherheitsgesetz beschlossen, das für einen besseren Schutz sogenannter kritischer Infrastrukturen wie Energie- oder Telekommunikationsnetzwerken sowie von IT-Systemen sorgen soll. Es sieht Mindeststandards für die IT-Sicherheit und eine Meldepflicht von Sicherheitsvorfällen für Firmen vor.

Bei der Vorstellung des Gesetzes in Berlin sagte Bundesinnenminister Thomas de Maizière: „Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild. Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.“ Es sei sorgfältig vorbereitet und umfänglich beraten.

Der Entwurf zum IT-Sicherheitsgesetz zielt laut Bundesregierung darauf ab, die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet zu verbessern. Dafür sollen etwa die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt werden.

Das BSI soll als zentrale Meldestelle vermehrt Beratungsfunktionen erfüllen und mit weiterreichenden Warnbefugnissen ausgestattet werden. Das BKA erhält erweiterte Ermittlungszuständigkeiten im Bereich der Computerdelikte, was insbesondere für den Fall von Online-Angriffen auf Einrichtungen des Bundes gilt.

Zur Steigerung der IT-Sicherheit im Internet werden darüber hinaus die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienrecht erhöht. Sie müssen Nutzer künftig über Störungen informieren, die von deren Systemen ausgehen, beispielsweise durch Botnetze. Allerdings gilt dies nur dann, wenn der Anbieter den Nutzer bereits kennt. Denn andernfalls müsste der Provider umfangreiche Verbindungs- und Standortdaten auswerten, um den Betroffenen zu ermitteln.

Einige umstrittene Passagen des ursprünglichen Entwurfs des Bundesinnenminsteriums wurden nach Rücksprache mit dem Bundesjustizministerium aus der finalen Fassung gestrichen. Datenschützer und Bürgerrechtler sahen in einem jetzt entfernten Zusatzparagrafen zum Telemediengesetz, der Diensteanbietern zur Störungsbekämpfung eine halbjährige Aufbewahrungsfrist für Nutzerdaten einräumte, eine neue Form der Vorratsdatenspeicherung.

Der Hightech-Verband Bitkom zeigt sich mit dem jetzt vom Bundeskabinett verabschiedeten Entwurf zum IT-Sicherheitsgesetz grundsätzlich zufrieden: „Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten“, sagte Bitkom-Präsident Dieter Kempf. „Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.“ Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert. Ebenfalls positiv sieht der Bitkom, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

Allerdings gebe es bei der konkreten Umsetzung des Gesetzes noch zahlreiche Unsicherheiten. So sei noch unklar, für welche Unternehmen das Gesetz tatsächlich gilt und welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden.

Der Verband der deutschen Internetwirtschaft e.V. (eco) sieht noch offene Fragen im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk und Informationssicherheit (NIS-Richtlinie). „Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‚Vorpreschen‘ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt“, sagte Oliver Süme, eco-Vorstand Politik und Recht. Stattdessen müssten europaweit einheitliche Regelungen und Standards geschaffen werden.

Als nächstes muss der heute beschlossene Regierungsentwurf Bundestag und Bundesrat passieren. Dabei könnte es noch zu Änderungen kommen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de