Der Bundestag hat heute mit den Stimmen der großen Koalition einen überarbeiteten Regierungsentwurf für ein IT-Sicherheitsgesetz (PDF) verabschiedet. Er verpflichtet Betreiber „kritischer Infrastrukturen“ wie Energieunternehmen, Banken oder Krankenhäuser, Cyberangriffe auf ihre Systeme umgehend dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Außerdem müssen sie ein vom BSI festgelegtes Mindestniveau an IT-Sicherheit einhalten. Bei Zuwiderhandlungen drohen bis zu 100.000 Euro Bußgeld.
Die neuen Bestimmungen gelten für Einrichtungen, „die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind“. Dazu zählen der Energie- und Gesundheitssektor, die Wasserversorgung, die Telekommunikation und das Finanz- und Versicherungswesen. Konkret müssen rund 2000 Unternehmen Cyberangriffe anonym melden. Das BSI wertet die Informationen aus, erstellt daraus ein Lagebild und warnt bei Bedarf andere Unternehmen.
Schon früh stieß das geplante IT-Sicherheitsgesetz auf Kritik seitens der Opposition und der Internetwirtschaft. Einigen geht es nicht weit genug, andere beklagen beispielsweise zusätzliche Bürokratie und Rechtsunsicherheit.
„Es stellt einen unnötigen nationalen Alleingang Deutschlands dar, der speziell mittelständische IT-Unternehmen vor größere Herausforderungen stellt, beispielsweise bei 24/7-Verfügbarkeit für so genannte kritische Infrastrukturen oder der zusätzlichen Unsicherheit bei der gesetzlichen Verpflichtung zur IT-Sicherheit“, kommentiert etwa Oliver Grün, Präsident des Bundesverbands IT-Mittelstand e.V. (BITMi). Zugleich kritisiert er auch die geplante Wiedereinführung der Vorratsdatenspeicherung, über die heute im Bundestag ebenfalls in erster Lesung diskutiert wurde, als „kopflosen Aktionismus“.
Der Verband der deutschen Internetwirtschaft e.V. (eco) begrüßt derweil, dass einige Änderungen in das IT-Sicherheitsgesetz aufgenommen wurden. Er fordert aber eine präzise Definition von kritischen Sektoren und deren Branchen. Der Fokus müsse eindeutig auf kritische Versorgungsdienstleistungen und die Betreiber kritischer Infrastrukturen liegen, sagte Oliver Süme, eco-Vorstand für Politik und Recht. „Der eco wird sich in diesem Zusammenhang weiter für eine stärkere Verpflichtung bislang nicht regulierter Branchen einsetzen. Die weitere Belastung von Internet- und Telekommunikationsunternehmen lehnen wir nach wie vor ab.“
Der Zurich Versicherung geht die Meldepflicht des IT-Sicherheitsgesetzes hingegen nicht weit genug. „Wir brauchen ein erhöhtes Risikobewusstsein bei den Unternehmen und einen gewissen Standard, an dem sie sich orientieren können“, betonte Miriam Marx, Cyberexpertin bei Zurich. „Das Gesetz sollte daher auf den gesamten Mittelstand ausgeweitet werden, um das Risikobewusstsein zu erhöhen. Den Fokus nur auf ‚kritische‘ Branchen zu setzen, reicht längst nicht aus. Vor allem dann, wenn diese nicht klar definiert sind.“
Der Digitalverband Bitkom steht vor allem den geplanten Strafen im IT-Sicherheitsgesetz kritisch gegenüber. „Die Androhung von Strafen macht keinen Sinn, wenn nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen“, erklärte Bitkom-Sicherheitsexperte Marc Bachmann. Allerdings bewertet der Verband positiv, dass auch die Bundesverwaltung unter den Geltungsbereich des Gesetzes fallen soll. Unterm Strich überwiegen für den Bitkom die Vorteile des Gesetzes. „Die Betreiber kritischer Infrastrukturen werden in die Pflicht genommen, den Schutz vor Cyberangriffen zu erhöhen und ihre IT-Sicherheitsmaßnahmen auf dem neuesten Stand zu halten“, so Bachmann weiter. Das könne mittelfristig das Schutzniveau in der Wirtschaft insgesamt erhöhen.
Thomas de Maizière (Bild: BPA/Jesco Denzel)Neben den Verpflichtungen für Unternehmen bringt das IT-Sicherheitsgesetz auch erweiterte Kompetenzen für das BSI sowie die Bundesnetzagentur und erweitert die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte. Bundesinnenminister Thomas de Maizière (CDU) merkt dazu an: „Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cybersicherheit immer mehr zu einem zentralen Baustein der Inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. Mit dem heute vom Deutschen Bundestag verabschiedeten IT-Sicherheitsgesetz kommen wir bei der Stärkung unserer IT-Systeme einen wichtigen Schritt voran. Heute ist ein guter Tag für mehr Sicherheit und Vertrauen im Internet.“
Eine Stärkung der IT-Sicherheitssysteme scheint angesichts eines kürzlich bekannt gewordenen, großangelegten Angriffs auf das Netzwerk des Bundestages auch bitter nötig. Wie Bundestagspräsident Norbert Lammert den Abgeordneten laut Spiegel Online in einer E-Mail mitgeteilt hat, muss das IT-Netz teilweise neu aufgesetzt werden. Zuvor hieß es, dass das gesamte Netzwerk ersetzt werden müsse. Am 8. Mai entdeckte die IT-Abteilung des Bundestages den Angriff auf das Netz. Offenbar konnten Cyberkriminelle Malware einschleusen und seit Monaten die Systeme infiltrieren. Dem Bericht zufolge gelang es ihnen, den sogenannten Verzeichnisdienst des Bundestages zu übernehmen, der alle rund 20.000 Rechner des Parlaments in einem Netz zusammenfasst. Da sie sich Administratorenrechte verschafft haben, können sie problemlos auf alle Computer sowie Zugangsdaten von Abgeordneten und Bundestagsmitarbeitern zugreifen. Davon ausgeschlossen sind angeblich die Dokumente des NSA-Untersuchungsausschusses, ein System in der als geheim eingestufte Dokumente des Bundestages verwahrt werden sowie die Rechner der Personalverwaltung, da hier „besonders gesicherte Netzwerke“ zum Einsatz kommen.
[mit Material von Andre Borbe, silicon.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…