Abo
  • Services:

IT-Sicherheitsgesetz: Kabinett beschließt Meldepflicht für Cyberangriffe

Die Regierung hat ihren Entwurf für ein IT-Sicherheitsgesetz noch einmal deutlich überarbeitet. Die "Vorratsdatenspeicherung light" ist raus. Mehr als 400 Stellen in den Behörden könnten entstehen, um die umfangreichen Prüfpflichten zu erfüllen.

Artikel veröffentlicht am ,
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerk Lubmin. (Bild: Thomas Peter/Reuters)

Die Bundesregierung hat einen Entwurf für ein IT-Sicherheitsgesetz beschlossen. Es soll Mindeststandards für die IT-Sicherheit setzen und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. Der am Mittwoch vom Kabinett in Berlin beschlossene Entwurf unterscheidet sich in einigen Punkten deutlich von den ursprünglichen Plänen aus dem Haus von Innenminister Thomas de Maizière (CDU). Wie bereits bekanntwurde, entfällt die umstrittene Dauerspeicherung von Nutzerdaten durch Telemediendienste.

Stellenmarkt
  1. Hays AG, Darmstadt, Wiesbaden, Frankfurt
  2. Polytec GmbH, Waldbronn

Anbieter von Telemediendiensten wie Google, Amazon oder Golem.de sowie Telekommunikationsanbieter werden in dem Entwurf in mehrerlei Hinsicht von anderen Betreibern kritischer Infrastrukturen unterschieden werden. Letztere werden laut Paragraf 8a verpflichtet, "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen". Dazu gehören die Einhaltung noch festzulegender Branchenstandards sowie der regelmäßige Nachweis über die Sicherheitsvorkehrungen.

Zudem sind diese Betreiber aus den Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen verpflichtet, "erhebliche Störungen" ihrer Systeme an das Bundesamt für Sicherheit in der Informationstechnik zu melden (Paragraf 8b). Die namentliche Nennung des Betreibers ist nur dann erforderlich, "wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat". Die Regelungen gelten nicht für Kleinstunternehmen, "die weniger als zehn Personen beschäftigen und deren Jahresumsätze beziehungsweise Jahresbilanzen zwei Millionen Euro nicht überschreiten". Ausdrücklich ausgenommen von Regelungen sind neben Telekommunikationsfirmen auch Betreiber von Energie- und Atomanlagen, da für diese bereits eigene Vorschriften gelten.

Diensteanbieter sollen Daten verschlüsseln

Die ursprünglich geplanten Regelungen für Mediendienste hatten Datenschützer scharf kritisiert. Die Formulierung, wonach "Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden" dürfen, wird ersatzlos gestrichen.

Die Anbieter sollen stattdessen durch technische und organisatorische Vorkehrungen sicherstellen, dass "kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist". Dies soll auch durch die "Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens" erreicht werden. Nicht von dem Gesetz betroffen ist das "nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine", wie es in der Gesetzesbegründung heißt.

Die Telekommunikationsanbieter sind schon jetzt laut Paragraf 109 des Telekommunikationsgesetzes (TKG) verpflichtet, ihre Systeme und Daten durch "angemessene technische Vorkehrungen" zu schützen. Eine Änderung von Paragraf 100 des TKG soll den Unternehmen die Verwendung von Honeypots oder Spamtraps erlauben. Neu hinzu kommt die Verpflichtung, dass die Bundesnetzagentur "mindestens alle zwei Jahre" die Umsetzung der Sicherheitskonzepte überprüfen muss. "Hierdurch soll erreicht werden, dass die technischen und organisatorischen Maßnahmen jederzeit den Stand der Technik berücksichtigen", heißt es zur Begründung.

Bis zu 425 neue Stellen möglich

Der Gesetzentwurf plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Bei Bundeskriminalamt (BKA), BSI, Bundesamt für Verfassungsschutz, Bundesnetzagentur, Bundesnachrichtendienst (BND), Bundesumweltministerium und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) sollen zwischen 200 und 425 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind bis zu 38 Millionen Euro jährlich eingeplant. Allerdings scheint noch völlig unklar, wie viel Aufwand das Gesetz für das BSI bedeutet. Je nach Anzahl der eingehenden Meldungen müssten zwischen 115 und 216,5 neue Stellen geschaffen werden.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. Jetzt für 150 EUR kaufen und 75 EUR sparen

Rulf 19. Dez 2014

die firma wo ich arbeite ist in fünf unterschiedlichen und größtenteils völlig...

.02 Cents 17. Dez 2014

Nein - muss nur nicht die Meldevorschriften erfüllen. Die Gebühr heisst Steuern. Das...

ehwat 17. Dez 2014

Das betrifft m.M.n. §109 TKG. Hier gilt seitens des BSI derzeit die Angabe von 100.000...

Rulf 17. Dez 2014

...den angriff der geheimdienste auf die komplette server/übertragungsstruktur des...


Folgen Sie uns
       


Intel Core i9-9900K - Test

Der Core i9-9900K ist ein Octacore-Prozessor im 14-nm-Verfahren. Die Platine und der Chip darunter sind recht dick, was wohl der hohen Leistungsaufnahme geschuldet ist. Erstmals seit 2011 verlötet Intel den Metalldeckel wieder statt Wärmeleitpaste zu verwenden.

Intel Core i9-9900K - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
    Shine 3
    Neuer Tolino-Reader bringt mehr Lesekomfort

    Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
    Ein Hands on von Ingo Pakalski

    1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

      •  /