Abo
  • Services:
Anzeige
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

IT-Sicherheitsgesetz: Telekomfirmen müssen Nutzer über Cyberangriffe informieren

Das Innenministerium hat den Entwurf für das IT-Sicherheitsgesetz veröffentlicht. Die Telekomfirmen müssen ihre Nutzer künftig direkt auf Sicherheitsprobleme hinweisen und dürfen die Nutzerdaten zur Abwehr von Störungen verwenden.

Anzeige

Das Bundesinnenministerium hat den vollständigen Entwurf für das neue IT-Sicherheitsgesetz präsentiert. Es setzt Mindeststandards für die IT-Sicherheit und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer kritische Infrastrukturen betreibt, der muss sie sicher betreiben", sagte Innenminister Thomas de Maizière zur Präsentation des 59-seitigen Entwurfs. Bereits am Vortag hatte der Minister die Grundzüge des Entwurfs genannt, mit dem Deutschlands IT-Strukturen "zu den sichersten Systemen weltweit" gemacht werden sollen.

Der Entwurf nimmt umfangreiche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus sollen das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), das Außenwirtschaftsgesetz und das Bundeskriminalamtsgesetz angepasst werden. Daraus ergeben sich laut Ministerium Regelungen zu fünf Themenfeldern: Verbesserung der IT-Sicherheit bei Unternehmen, Schutz der Bürger in einem sicheren Netz, Schutz der IT des Bundes, Stärkung des BSI und Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

Individuelle Hinweise an Nutzer

De Maizière hatte am Montag bereits angekündigt, dass von Cyberangriffen betroffene Unternehmen Vorfälle auch anonym melden könnten. Dies wird in Paragraf 8b, Absatz 4 des BSI-Gesetzes geregelt, gilt allerdings nicht, wenn der Angriff zu einem "Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur" führt, wie es in Absatz 5 heißt. Die Meldepflicht gilt nicht für Unternehmen, "soweit diese ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen". Diese müssen bekanntgewordene Störungen der Bundesnetzagentur "unverzüglich" mitteilen. Das Innenministerium begründete die Sonderregelung auf Anfrage damit, dass bereits bestehende Meldewege nicht verändert werden sollten.

Anschließend kann die Bundesnetzagentur die Öffentlichkeit über die Vorfälle unterrichten, "wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt", wie es im novellierten TKG-Gesetz heißen soll. Die Telekommunikationsfirmen dürfen "die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden", wenn sie Störungen und Fehler ihrer Anlagen beheben wollen. Dies gelte insbesondere bei Botnetzen, Honeypots und Spamtraps, heißt es zur Begründung.

Falls die Störungen von Nutzern ausgingen, müssten diese "auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden", um die Störungen erkennen und beseitigen zu können. Eine "individuelle Untersuchung der Technik oder eine individuelle Beratung des Kunden" sei dabei nicht erforderlich, heißt es in der Gesetzesbegründung. Die Informations- und Hinweispflicht könne "beispielsweise über Umleitung der betroffenen Nutzer auf eine Hinweisseite realisiert werden". Auf Anfrage erläuterte das Innenministerium, dass die Informationspflicht vom konkreten Fall abhänge. Je nach Größenordnung könnten Nutzer durchaus individuell informiert werden.

Mehr als 270 neue Stellen in den Behörden

Die Firmen in diesen Bereichen der kritischen Infrastruktur sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Dazu zählen Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. De Maizière wies Kritik am erhöhten Bürokratieaufwand durch das Gesetz und an damit verbundenen Kosten zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten, sagte de Maizière am Dienstag in Bonn.

Das Gesetz plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Beim Bundeskriminalamt (BKA), beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen mehr als 270 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind mehr als 20 Millionen Euro eingeplant.

Widerstand aus der Wirtschaft berücksichtigt

Das BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Bereits in der vergangenen Legislaturperiode hatte die damalige schwarz-gelbe Bundesregierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend, es offenzulegen, wenn sie Opfer von Cyberattacken werden. Sie hatten unter anderem Anonymität bei solchen Hinweisen gefordert.

Bis zum Ende des Jahres soll der Gesetzentwurf vom Bundeskabinett verabschiedet werden. Anschließend folgen die Beratungen im Bundestag. Nach Inkrafttreten des Gesetzes dauert es noch sechs Monate, bis die Meldepflicht für Cyberangriffe wirksam wird.

Nachtrag vom 19. August 2014, 17:40 Uhr

Der Branchenverband Bitkom begrüßte "im Grundsatz" den Entwurf, forderte aber mehr Unterstützung für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit. Nach Angaben des Verbandes ergeben sich für die deutsche Wirtschaft aus der Meldepflicht Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Mit Blick auf die Rolle des BSI forderte Bitkom, dass die Meldungen nicht direkt vom Staat, "sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden".

Scharfe Kritik an dem Gesetzentwurf kam von den Piraten. "Wir brauchen eine zentrale Meldestelle, bei der Angriffe gemeldet und für alle einsehbar veröffentlicht werden. Nur dann können sich Kunden über das Sicherheitsniveau der Anbieter informieren und Unternehmen wirksame Gegenmaßnahmen gegen Angriffe und Angriffsmuster entwickeln", sagte Parteichef Stefan Körner. Der vorgelegte Entwurf sei "ein Care-Paket für BKA, Verfassungsschutz und BSI ohne nennenswerten Mehrwert für Bürger und Unternehmen".


eye home zur Startseite
FreiGeistler 20. Aug 2014

...Der Ansatz der Piraten mit der Zentralen Meldestelle wird wohl gegen Lobbyismus und...

oggimog 20. Aug 2014

Ich bin kein Experte, aber es hört sich für mich nach einem guten Ansatz an. Ich hoffe...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Hamburg
  2. Bosch Software Innovations GmbH, Waiblingen, Berlin
  3. doctronic gmbH & Co. KG, Bonn
  4. Zentrum für Informationstechnologie ZIT, Freiburg im Breisgau


Anzeige
Hardware-Angebote
  1. und 15€ Cashback erhalten
  2. 379,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

  1. Betrifft nur wenige

    Friedrich.Thal | 21:20

  2. Re: .. nachtrag

    slead | 21:15

  3. Re: Den 4-Sitzer finde ich gut...

    Prinzeumel | 21:10

  4. Re: Echt jetzt?

    Slypher | 21:00

  5. Re: Die tauschen jedes 6s ...

    FlorianP | 20:57


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel