Abo
  • Services:
Anzeige
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

IT-Sicherheitsgesetz: Telekomfirmen müssen Nutzer über Cyberangriffe informieren

Das Innenministerium hat den Entwurf für das IT-Sicherheitsgesetz veröffentlicht. Die Telekomfirmen müssen ihre Nutzer künftig direkt auf Sicherheitsprobleme hinweisen und dürfen die Nutzerdaten zur Abwehr von Störungen verwenden.

Anzeige

Das Bundesinnenministerium hat den vollständigen Entwurf für das neue IT-Sicherheitsgesetz präsentiert. Es setzt Mindeststandards für die IT-Sicherheit und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer kritische Infrastrukturen betreibt, der muss sie sicher betreiben", sagte Innenminister Thomas de Maizière zur Präsentation des 59-seitigen Entwurfs. Bereits am Vortag hatte der Minister die Grundzüge des Entwurfs genannt, mit dem Deutschlands IT-Strukturen "zu den sichersten Systemen weltweit" gemacht werden sollen.

Der Entwurf nimmt umfangreiche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus sollen das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), das Außenwirtschaftsgesetz und das Bundeskriminalamtsgesetz angepasst werden. Daraus ergeben sich laut Ministerium Regelungen zu fünf Themenfeldern: Verbesserung der IT-Sicherheit bei Unternehmen, Schutz der Bürger in einem sicheren Netz, Schutz der IT des Bundes, Stärkung des BSI und Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

Individuelle Hinweise an Nutzer

De Maizière hatte am Montag bereits angekündigt, dass von Cyberangriffen betroffene Unternehmen Vorfälle auch anonym melden könnten. Dies wird in Paragraf 8b, Absatz 4 des BSI-Gesetzes geregelt, gilt allerdings nicht, wenn der Angriff zu einem "Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur" führt, wie es in Absatz 5 heißt. Die Meldepflicht gilt nicht für Unternehmen, "soweit diese ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen". Diese müssen bekanntgewordene Störungen der Bundesnetzagentur "unverzüglich" mitteilen. Das Innenministerium begründete die Sonderregelung auf Anfrage damit, dass bereits bestehende Meldewege nicht verändert werden sollten.

Anschließend kann die Bundesnetzagentur die Öffentlichkeit über die Vorfälle unterrichten, "wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt", wie es im novellierten TKG-Gesetz heißen soll. Die Telekommunikationsfirmen dürfen "die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden", wenn sie Störungen und Fehler ihrer Anlagen beheben wollen. Dies gelte insbesondere bei Botnetzen, Honeypots und Spamtraps, heißt es zur Begründung.

Falls die Störungen von Nutzern ausgingen, müssten diese "auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden", um die Störungen erkennen und beseitigen zu können. Eine "individuelle Untersuchung der Technik oder eine individuelle Beratung des Kunden" sei dabei nicht erforderlich, heißt es in der Gesetzesbegründung. Die Informations- und Hinweispflicht könne "beispielsweise über Umleitung der betroffenen Nutzer auf eine Hinweisseite realisiert werden". Auf Anfrage erläuterte das Innenministerium, dass die Informationspflicht vom konkreten Fall abhänge. Je nach Größenordnung könnten Nutzer durchaus individuell informiert werden.

Mehr als 270 neue Stellen in den Behörden

Die Firmen in diesen Bereichen der kritischen Infrastruktur sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Dazu zählen Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. De Maizière wies Kritik am erhöhten Bürokratieaufwand durch das Gesetz und an damit verbundenen Kosten zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten, sagte de Maizière am Dienstag in Bonn.

Das Gesetz plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Beim Bundeskriminalamt (BKA), beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen mehr als 270 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind mehr als 20 Millionen Euro eingeplant.

Widerstand aus der Wirtschaft berücksichtigt

Das BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Bereits in der vergangenen Legislaturperiode hatte die damalige schwarz-gelbe Bundesregierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend, es offenzulegen, wenn sie Opfer von Cyberattacken werden. Sie hatten unter anderem Anonymität bei solchen Hinweisen gefordert.

Bis zum Ende des Jahres soll der Gesetzentwurf vom Bundeskabinett verabschiedet werden. Anschließend folgen die Beratungen im Bundestag. Nach Inkrafttreten des Gesetzes dauert es noch sechs Monate, bis die Meldepflicht für Cyberangriffe wirksam wird.

Nachtrag vom 19. August 2014, 17:40 Uhr

Der Branchenverband Bitkom begrüßte "im Grundsatz" den Entwurf, forderte aber mehr Unterstützung für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit. Nach Angaben des Verbandes ergeben sich für die deutsche Wirtschaft aus der Meldepflicht Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Mit Blick auf die Rolle des BSI forderte Bitkom, dass die Meldungen nicht direkt vom Staat, "sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden".

Scharfe Kritik an dem Gesetzentwurf kam von den Piraten. "Wir brauchen eine zentrale Meldestelle, bei der Angriffe gemeldet und für alle einsehbar veröffentlicht werden. Nur dann können sich Kunden über das Sicherheitsniveau der Anbieter informieren und Unternehmen wirksame Gegenmaßnahmen gegen Angriffe und Angriffsmuster entwickeln", sagte Parteichef Stefan Körner. Der vorgelegte Entwurf sei "ein Care-Paket für BKA, Verfassungsschutz und BSI ohne nennenswerten Mehrwert für Bürger und Unternehmen".


eye home zur Startseite
FreiGeistler 20. Aug 2014

...Der Ansatz der Piraten mit der Zentralen Meldestelle wird wohl gegen Lobbyismus und...

oggimog 20. Aug 2014

Ich bin kein Experte, aber es hört sich für mich nach einem guten Ansatz an. Ich hoffe...



Anzeige

Stellenmarkt
  1. [bu:st] GmbH, München
  2. T-Systems International GmbH, Bonn
  3. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  4. Domus Software AG, Ottobrunn bei München


Anzeige
Hardware-Angebote
  1. 308,95€ (Bestpreis)
  2. (täglich neue Deals)
  3. 18,99€ inkl. Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  2. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  3. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  4. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  5. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen

  6. Industrie- und Handelskammern

    1&1 Versatel bekommt Großauftrag für Glasfaser

  7. Chakracore

    Javascript-Engine von Edge-Browser läuft auf OS X und Linux

  8. Kinderroboter Myon

    Einauge lernt, Einauge hat Körper

  9. Passwort Manager

    Lastpass behebt kritische Lücke

  10. Fest angestellt

    Wie viele Informatiker es in Deutschland gibt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: Eine Microsoft-App, die nicht für Windows...

    Nikolai | 16:20

  2. Re: Video Content Diebstahl

    thorsten... | 16:20

  3. Re: Komisch

    Plany | 16:18

  4. Re: Ohne Angabe der zu verlegenden Länge ist der...

    Paule | 16:17

  5. Re: Faszinierend

    sofries | 16:16


  1. 15:58

  2. 15:42

  3. 15:31

  4. 14:42

  5. 14:00

  6. 12:37

  7. 12:29

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel