Abo
  • Services:
Anzeige
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

IT-Sicherheitsgesetz: Telekomfirmen müssen Nutzer über Cyberangriffe informieren

Das Innenministerium hat den Entwurf für das IT-Sicherheitsgesetz veröffentlicht. Die Telekomfirmen müssen ihre Nutzer künftig direkt auf Sicherheitsprobleme hinweisen und dürfen die Nutzerdaten zur Abwehr von Störungen verwenden.

Anzeige

Das Bundesinnenministerium hat den vollständigen Entwurf für das neue IT-Sicherheitsgesetz präsentiert. Es setzt Mindeststandards für die IT-Sicherheit und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer kritische Infrastrukturen betreibt, der muss sie sicher betreiben", sagte Innenminister Thomas de Maizière zur Präsentation des 59-seitigen Entwurfs. Bereits am Vortag hatte der Minister die Grundzüge des Entwurfs genannt, mit dem Deutschlands IT-Strukturen "zu den sichersten Systemen weltweit" gemacht werden sollen.

Der Entwurf nimmt umfangreiche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus sollen das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), das Außenwirtschaftsgesetz und das Bundeskriminalamtsgesetz angepasst werden. Daraus ergeben sich laut Ministerium Regelungen zu fünf Themenfeldern: Verbesserung der IT-Sicherheit bei Unternehmen, Schutz der Bürger in einem sicheren Netz, Schutz der IT des Bundes, Stärkung des BSI und Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

Individuelle Hinweise an Nutzer

De Maizière hatte am Montag bereits angekündigt, dass von Cyberangriffen betroffene Unternehmen Vorfälle auch anonym melden könnten. Dies wird in Paragraf 8b, Absatz 4 des BSI-Gesetzes geregelt, gilt allerdings nicht, wenn der Angriff zu einem "Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur" führt, wie es in Absatz 5 heißt. Die Meldepflicht gilt nicht für Unternehmen, "soweit diese ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen". Diese müssen bekanntgewordene Störungen der Bundesnetzagentur "unverzüglich" mitteilen. Das Innenministerium begründete die Sonderregelung auf Anfrage damit, dass bereits bestehende Meldewege nicht verändert werden sollten.

Anschließend kann die Bundesnetzagentur die Öffentlichkeit über die Vorfälle unterrichten, "wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt", wie es im novellierten TKG-Gesetz heißen soll. Die Telekommunikationsfirmen dürfen "die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden", wenn sie Störungen und Fehler ihrer Anlagen beheben wollen. Dies gelte insbesondere bei Botnetzen, Honeypots und Spamtraps, heißt es zur Begründung.

Falls die Störungen von Nutzern ausgingen, müssten diese "auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden", um die Störungen erkennen und beseitigen zu können. Eine "individuelle Untersuchung der Technik oder eine individuelle Beratung des Kunden" sei dabei nicht erforderlich, heißt es in der Gesetzesbegründung. Die Informations- und Hinweispflicht könne "beispielsweise über Umleitung der betroffenen Nutzer auf eine Hinweisseite realisiert werden". Auf Anfrage erläuterte das Innenministerium, dass die Informationspflicht vom konkreten Fall abhänge. Je nach Größenordnung könnten Nutzer durchaus individuell informiert werden.

Mehr als 270 neue Stellen in den Behörden

Die Firmen in diesen Bereichen der kritischen Infrastruktur sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Dazu zählen Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. De Maizière wies Kritik am erhöhten Bürokratieaufwand durch das Gesetz und an damit verbundenen Kosten zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten, sagte de Maizière am Dienstag in Bonn.

Das Gesetz plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Beim Bundeskriminalamt (BKA), beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen mehr als 270 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind mehr als 20 Millionen Euro eingeplant.

Widerstand aus der Wirtschaft berücksichtigt

Das BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Bereits in der vergangenen Legislaturperiode hatte die damalige schwarz-gelbe Bundesregierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend, es offenzulegen, wenn sie Opfer von Cyberattacken werden. Sie hatten unter anderem Anonymität bei solchen Hinweisen gefordert.

Bis zum Ende des Jahres soll der Gesetzentwurf vom Bundeskabinett verabschiedet werden. Anschließend folgen die Beratungen im Bundestag. Nach Inkrafttreten des Gesetzes dauert es noch sechs Monate, bis die Meldepflicht für Cyberangriffe wirksam wird.

Nachtrag vom 19. August 2014, 17:40 Uhr

Der Branchenverband Bitkom begrüßte "im Grundsatz" den Entwurf, forderte aber mehr Unterstützung für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit. Nach Angaben des Verbandes ergeben sich für die deutsche Wirtschaft aus der Meldepflicht Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Mit Blick auf die Rolle des BSI forderte Bitkom, dass die Meldungen nicht direkt vom Staat, "sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden".

Scharfe Kritik an dem Gesetzentwurf kam von den Piraten. "Wir brauchen eine zentrale Meldestelle, bei der Angriffe gemeldet und für alle einsehbar veröffentlicht werden. Nur dann können sich Kunden über das Sicherheitsniveau der Anbieter informieren und Unternehmen wirksame Gegenmaßnahmen gegen Angriffe und Angriffsmuster entwickeln", sagte Parteichef Stefan Körner. Der vorgelegte Entwurf sei "ein Care-Paket für BKA, Verfassungsschutz und BSI ohne nennenswerten Mehrwert für Bürger und Unternehmen".


eye home zur Startseite
FreiGeistler 20. Aug 2014

...Der Ansatz der Piraten mit der Zentralen Meldestelle wird wohl gegen Lobbyismus und...

oggimog 20. Aug 2014

Ich bin kein Experte, aber es hört sich für mich nach einem guten Ansatz an. Ich hoffe...



Anzeige

Stellenmarkt
  1. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  2. Charité - Universitätsmedizin Berlin, Berlin
  3. Völkel Mikroelektronik GmbH, Münster (Nordrhein-Westfalen)
  4. über Ratbacher GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. 819,00€
  2. 281,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Atom-Unfall

    WD erweitert Support für NAS mit Intels fehlerhaftem Atom

  2. SecurityWatchScam ID

    T-Mobile blockiert Spam-Anrufe

  3. AT&T

    USA bauen Millionen Glasfaserverbindungen

  4. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  5. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  6. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  7. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  8. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  9. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  10. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: 1 Millisekunde

    Eheran | 16:46

  2. Re: "Ein Träumchen!"

    oliver.n.h | 16:39

  3. Re: Nach einem Tag deinstalliert

    Topf | 16:39

  4. Re: Benutzung elektromagnetische Schwingungen

    m9898 | 16:35

  5. Re: inb4 Diskussion

    RheinPirat | 16:22


  1. 14:32

  2. 14:16

  3. 13:00

  4. 15:20

  5. 14:13

  6. 12:52

  7. 12:39

  8. 09:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel