IT-Sicherheitsgesetz: Kabinett beschließt Meldepflicht für Cyberangriffe

Die Regierung hat ihren Entwurf für ein IT-Sicherheitsgesetz noch einmal deutlich überarbeitet. Die "Vorratsdatenspeicherung light" ist raus. Mehr als 400 Stellen in den Behörden könnten entstehen, um die umfangreichen Prüfpflichten zu erfüllen.

Artikel veröffentlicht am ,
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin. (Bild: Thomas Peter/Reuters)

Die Bundesregierung hat einen Entwurf für ein IT-Sicherheitsgesetz beschlossen. Es soll Mindeststandards für die IT-Sicherheit setzen und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. Der am Mittwoch vom Kabinett in Berlin beschlossene Entwurf unterscheidet sich in einigen Punkten deutlich von den ursprünglichen Plänen aus dem Haus von Innenminister Thomas de Maizière (CDU). Wie bereits bekanntwurde, entfällt die umstrittene Dauerspeicherung von Nutzerdaten durch Telemediendienste.

Stellenmarkt
  1. IT-Security-Consultant (m/w/d) Penetration Tester
    SySS GmbH, Tübingen, Frankfurt, München
  2. Operations Technician
    über Page Personnel Deutschland GmbH, Hamburg
Detailsuche

Anbieter von Telemediendiensten wie Google, Amazon oder Golem.de sowie Telekommunikationsanbieter werden in dem Entwurf in mehrerlei Hinsicht von anderen Betreibern kritischer Infrastrukturen unterschieden werden. Letztere werden laut Paragraf 8a verpflichtet, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen". Dazu gehören die Einhaltung noch festzulegender Branchenstandards sowie der regelmäßige Nachweis über die Sicherheitsvorkehrungen.

Zudem sind diese Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen verpflichtet, "erhebliche Störungen" ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik zu melden (Paragraf 8b). Die namentliche Nennung des Betreibers ist nur dann erforderlich, "wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat". Die Regelungen gelten nicht für Kleinstunternehmen, "die weniger als zehn Personen beschäftigen und deren Jahresumsätze beziehungsweise Jahresbilanzen zwei Millionen Euro nicht überschreiten". Ausdrücklich ausgenommen von Regelungen sind neben Telekommunikationsfirmen auch Betreiber von Energie- und Atomanlagen, da für diese bereits eigene Vorschriften gelten.

Diensteanbieter sollen Daten verschlüsseln

Die ursprünglich geplanten Regelungen für Mediendienste hatten Datenschützer scharf kritisiert. Die Formulierung, wonach "Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden" dürfen, wird ersatzlos gestrichen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Die Anbieter sollen stattdessen durch technische und organisatorische Vorkehrungen sicherstellen, dass "kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist". Dies soll auch durch die "Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens" erreicht werden. Nicht von dem Gesetz betroffen ist das "nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine", wie es in der Gesetzesbegründung heißt.

Die Telekommunikationsanbieter sind schon jetzt laut Paragraf 109 des Telekommunikationsgesetzes (TKG) verpflichtet, ihre Systeme und Daten durch "angemessene technische Vorkehrungen" zu schützen. Eine Änderung von Paragraf 100 des TKG soll den Unternehmen die Verwendung von Honeypots oder Spamtraps erlauben. Neu hinzu kommt die Verpflichtung, dass die Bundesnetzagentur "mindestens alle zwei Jahre" die Umsetzung der Sicherheitskonzepte überprüfen muss. "Hierdurch soll erreicht werden, dass die technischen und organisatorischen Maßnahmen jederzeit den Stand der Technik berücksichtigen", heißt es zur Begründung.

Bis zu 425 neue Stellen möglich

Der Gesetzentwurf plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Bei Bundeskriminalamt (BKA), BSI, Bundesamt für Verfassungsschutz, Bundesnetzagentur, Bundesnachrichtendienst (BND), Bundesumweltministerium und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) sollen zwischen 200 und 425 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind bis zu 38 Millionen Euro jährlich eingeplant. Allerdings scheint noch völlig unklar, wie viel Aufwand das Gesetz für das BSI bedeutet. Je nach Anzahl der eingehenden Meldungen müssten zwischen 115 und 216,5 neue Stellen geschaffen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Rulf 19. Dez 2014

die firma wo ich arbeite ist in fünf unterschiedlichen und größtenteils völlig...

.02 Cents 17. Dez 2014

Nein - muss nur nicht die Meldevorschriften erfüllen. Die Gebühr heisst Steuern. Das...

ehwat 17. Dez 2014

Das betrifft m.M.n. §109 TKG. Hier gilt seitens des BSI derzeit die Angabe von 100.000...

Rulf 17. Dez 2014

...den angriff der geheimdienste auf die komplette server/übertragungsstruktur des...



Aktuell auf der Startseite von Golem.de
iPhone 13
Neue Benchmark-Ergebnisse für Apples A15 Bionic

Ergebnisse des Geekbench-Benchmarks zeigen, dass das iPhone 13 Pro wie erwartet im GPU-Bereich deutlich zugelegt hat.

iPhone 13: Neue Benchmark-Ergebnisse für Apples A15 Bionic
Artikel
  1. Zum Tod von Sir Clive Sinclair: Der ewige Optimist
    Zum Tod von Sir Clive Sinclair
    Der ewige Optimist

    Mit Clive Sinclair ist einer der IT-Pioniere Europas gestorben. Der Brite war viel mehr als nur der Unternehmer, der mit den preiswerten ZX-Heimrechnern die Mikrocomputer-Revolution vorantrieb.
    Ein Nachruf von Martin Wolf

  2. Chiphersteller: Infineon eröffnet automatisierte Chipfabrik in Österreich
    Chiphersteller
    Infineon eröffnet automatisierte Chipfabrik in Österreich

    Der deutsche Konzern Infineon wird viel Geld in die Forschung von 300-mm-Thin-Wafern stecken. Das Werk in Villach ist das größte im Land.

  3. Bürosuite: Kaufversion von Microsoft Office 2021 kommt im Oktober
    Bürosuite
    Kaufversion von Microsoft Office 2021 kommt im Oktober

    Wer Office nicht abonnieren, sondern kaufen will, kann ab 5. Oktober 2021 die neue Version Office 2021 erwerben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED (2021) 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD (u. a. Zombieland 1 & 2 29,99€) • Alternate (u. a. Netgear-Repeater 26,90€) • iPhone 12 Pro 256GB 989€ [Werbung]
    •  /