Abo
  • Services:
Anzeige
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin. (Bild: Thomas Peter/Reuters)

IT-Sicherheitsgesetz: Kabinett beschließt Meldepflicht für Cyberangriffe

Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin. (Bild: Thomas Peter/Reuters)

Die Regierung hat ihren Entwurf für ein IT-Sicherheitsgesetz noch einmal deutlich überarbeitet. Die "Vorratsdatenspeicherung light" ist raus. Mehr als 400 Stellen in den Behörden könnten entstehen, um die umfangreichen Prüfpflichten zu erfüllen.

Anzeige

Die Bundesregierung hat einen Entwurf für ein IT-Sicherheitsgesetz beschlossen. Es soll Mindeststandards für die IT-Sicherheit setzen und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. Der am Mittwoch vom Kabinett in Berlin beschlossene Entwurf unterscheidet sich in einigen Punkten deutlich von den ursprünglichen Plänen aus dem Haus von Innenminister Thomas de Maizière (CDU). Wie bereits bekanntwurde, entfällt die umstrittene Dauerspeicherung von Nutzerdaten durch Telemediendienste.

Anbieter von Telemediendiensten wie Google, Amazon oder Golem.de sowie Telekommunikationsanbieter werden in dem Entwurf in mehrerlei Hinsicht von anderen Betreibern kritischer Infrastrukturen unterschieden werden. Letztere werden laut Paragraf 8a verpflichtet, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen". Dazu gehören die Einhaltung noch festzulegender Branchenstandards sowie der regelmäßige Nachweis über die Sicherheitsvorkehrungen.

Zudem sind diese Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen verpflichtet, "erhebliche Störungen" ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik zu melden (Paragraf 8b). Die namentliche Nennung des Betreibers ist nur dann erforderlich, "wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat". Die Regelungen gelten nicht für Kleinstunternehmen, "die weniger als zehn Personen beschäftigen und deren Jahresumsätze beziehungsweise Jahresbilanzen zwei Millionen Euro nicht überschreiten". Ausdrücklich ausgenommen von Regelungen sind neben Telekommunikationsfirmen auch Betreiber von Energie- und Atomanlagen, da für diese bereits eigene Vorschriften gelten.

Diensteanbieter sollen Daten verschlüsseln

Die ursprünglich geplanten Regelungen für Mediendienste hatten Datenschützer scharf kritisiert. Die Formulierung, wonach "Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden" dürfen, wird ersatzlos gestrichen.

Die Anbieter sollen stattdessen durch technische und organisatorische Vorkehrungen sicherstellen, dass "kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist". Dies soll auch durch die "Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens" erreicht werden. Nicht von dem Gesetz betroffen ist das "nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine", wie es in der Gesetzesbegründung heißt.

Die Telekommunikationsanbieter sind schon jetzt laut Paragraf 109 des Telekommunikationsgesetzes (TKG) verpflichtet, ihre Systeme und Daten durch "angemessene technische Vorkehrungen" zu schützen. Eine Änderung von Paragraf 100 des TKG soll den Unternehmen die Verwendung von Honeypots oder Spamtraps erlauben. Neu hinzu kommt die Verpflichtung, dass die Bundesnetzagentur "mindestens alle zwei Jahre" die Umsetzung der Sicherheitskonzepte überprüfen muss. "Hierdurch soll erreicht werden, dass die technischen und organisatorischen Maßnahmen jederzeit den Stand der Technik berücksichtigen", heißt es zur Begründung.

Bis zu 425 neue Stellen möglich

Der Gesetzentwurf plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Bei Bundeskriminalamt (BKA), BSI, Bundesamt für Verfassungsschutz, Bundesnetzagentur, Bundesnachrichtendienst (BND), Bundesumweltministerium und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) sollen zwischen 200 und 425 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind bis zu 38 Millionen Euro jährlich eingeplant. Allerdings scheint noch völlig unklar, wie viel Aufwand das Gesetz für das BSI bedeutet. Je nach Anzahl der eingehenden Meldungen müssten zwischen 115 und 216,5 neue Stellen geschaffen werden.


eye home zur Startseite
Rulf 19. Dez 2014

die firma wo ich arbeite ist in fünf unterschiedlichen und größtenteils völlig...

.02 Cents 17. Dez 2014

Nein - muss nur nicht die Meldevorschriften erfüllen. Die Gebühr heisst Steuern. Das...

ehwat 17. Dez 2014

Das betrifft m.M.n. §109 TKG. Hier gilt seitens des BSI derzeit die Angabe von 100.000...

Rulf 17. Dez 2014

...den angriff der geheimdienste auf die komplette server/übertragungsstruktur des...



Anzeige

Stellenmarkt
  1. Neoperl GmbH, Müllheim
  2. Continental AG, Markdorf
  3. Detecon International GmbH, Köln, Frankfurt am Main
  4. T-Systems International GmbH, Bonn, Berlin


Anzeige
Top-Angebote
  1. 399,00€ (Gutscheincode: HONOR8)
  2. 69,95€
  3. 44,00€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    DrWatson | 01:38

  2. Re: 30 Stunden auf Abruf ?!?

    DrWatson | 01:36

  3. Re: Wozu?

    Tamarrah | 01:22

  4. Re: Darf Russland den Dotcom auch verhaften?

    lear | 01:13

  5. Re: Ist bei allen Onlineauftritten von Computer...

    tundracomp | 01:03


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel