Abo
  • Services:

IT-Sicherheitsgesetz: Telekomfirmen müssen Nutzer über Cyberangriffe informieren

Das Innenministerium hat den Entwurf für das IT-Sicherheitsgesetz veröffentlicht. Die Telekomfirmen müssen ihre Nutzer künftig direkt auf Sicherheitsprobleme hinweisen und dürfen die Nutzerdaten zur Abwehr von Störungen verwenden.

Artikel veröffentlicht am , /dpa
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

Das Bundesinnenministerium hat den vollständigen Entwurf für das neue IT-Sicherheitsgesetz präsentiert. Es setzt Mindeststandards für die IT-Sicherheit und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer kritische Infrastrukturen betreibt, der muss sie sicher betreiben", sagte Innenminister Thomas de Maizière zur Präsentation des 59-seitigen Entwurfs. Bereits am Vortag hatte der Minister die Grundzüge des Entwurfs genannt, mit dem Deutschlands IT-Strukturen "zu den sichersten Systemen weltweit" gemacht werden sollen.

Stellenmarkt
  1. Bosch Gruppe, Salzgitter
  2. Lidl Digital, Leingarten, Berlin

Der Entwurf nimmt umfangreiche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus sollen das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), das Außenwirtschaftsgesetz und das Bundeskriminalamtsgesetz angepasst werden. Daraus ergeben sich laut Ministerium Regelungen zu fünf Themenfeldern: Verbesserung der IT-Sicherheit bei Unternehmen, Schutz der Bürger in einem sicheren Netz, Schutz der IT des Bundes, Stärkung des BSI und Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

Individuelle Hinweise an Nutzer

De Maizière hatte am Montag bereits angekündigt, dass von Cyberangriffen betroffene Unternehmen Vorfälle auch anonym melden könnten. Dies wird in Paragraf 8b, Absatz 4 des BSI-Gesetzes geregelt, gilt allerdings nicht, wenn der Angriff zu einem "Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur" führt, wie es in Absatz 5 heißt. Die Meldepflicht gilt nicht für Unternehmen, "soweit diese ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen". Diese müssen bekanntgewordene Störungen der Bundesnetzagentur "unverzüglich" mitteilen. Das Innenministerium begründete die Sonderregelung auf Anfrage damit, dass bereits bestehende Meldewege nicht verändert werden sollten.

Anschließend kann die Bundesnetzagentur die Öffentlichkeit über die Vorfälle unterrichten, "wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt", wie es im novellierten TKG-Gesetz heißen soll. Die Telekommunikationsfirmen dürfen "die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden", wenn sie Störungen und Fehler ihrer Anlagen beheben wollen. Dies gelte insbesondere bei Botnetzen, Honeypots und Spamtraps, heißt es zur Begründung.

Falls die Störungen von Nutzern ausgingen, müssten diese "auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden", um die Störungen erkennen und beseitigen zu können. Eine "individuelle Untersuchung der Technik oder eine individuelle Beratung des Kunden" sei dabei nicht erforderlich, heißt es in der Gesetzesbegründung. Die Informations- und Hinweispflicht könne "beispielsweise über Umleitung der betroffenen Nutzer auf eine Hinweisseite realisiert werden". Auf Anfrage erläuterte das Innenministerium, dass die Informationspflicht vom konkreten Fall abhänge. Je nach Größenordnung könnten Nutzer durchaus individuell informiert werden.

Mehr als 270 neue Stellen in den Behörden

Die Firmen in diesen Bereichen der kritischen Infrastruktur sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Dazu zählen Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. De Maizière wies Kritik am erhöhten Bürokratieaufwand durch das Gesetz und an damit verbundenen Kosten zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten, sagte de Maizière am Dienstag in Bonn.

Das Gesetz plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Beim Bundeskriminalamt (BKA), beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen mehr als 270 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind mehr als 20 Millionen Euro eingeplant.

Widerstand aus der Wirtschaft berücksichtigt

Das BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Bereits in der vergangenen Legislaturperiode hatte die damalige schwarz-gelbe Bundesregierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend, es offenzulegen, wenn sie Opfer von Cyberattacken werden. Sie hatten unter anderem Anonymität bei solchen Hinweisen gefordert.

Bis zum Ende des Jahres soll der Gesetzentwurf vom Bundeskabinett verabschiedet werden. Anschließend folgen die Beratungen im Bundestag. Nach Inkrafttreten des Gesetzes dauert es noch sechs Monate, bis die Meldepflicht für Cyberangriffe wirksam wird.

Nachtrag vom 19. August 2014, 17:40 Uhr

Der Branchenverband Bitkom begrüßte "im Grundsatz" den Entwurf, forderte aber mehr Unterstützung für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit. Nach Angaben des Verbandes ergeben sich für die deutsche Wirtschaft aus der Meldepflicht Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Mit Blick auf die Rolle des BSI forderte Bitkom, dass die Meldungen nicht direkt vom Staat, "sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden".

Scharfe Kritik an dem Gesetzentwurf kam von den Piraten. "Wir brauchen eine zentrale Meldestelle, bei der Angriffe gemeldet und für alle einsehbar veröffentlicht werden. Nur dann können sich Kunden über das Sicherheitsniveau der Anbieter informieren und Unternehmen wirksame Gegenmaßnahmen gegen Angriffe und Angriffsmuster entwickeln", sagte Parteichef Stefan Körner. Der vorgelegte Entwurf sei "ein Care-Paket für BKA, Verfassungsschutz und BSI ohne nennenswerten Mehrwert für Bürger und Unternehmen".



Anzeige
Top-Angebote
  1. 4,99€
  2. (bei PCs, Monitoren, Equipment & Co. sparen)
  3. 99,90€ statt 124,90€
  4. 149,90€ statt 179,90€

FreiGeistler 20. Aug 2014

...Der Ansatz der Piraten mit der Zentralen Meldestelle wird wohl gegen Lobbyismus und...

oggimog 20. Aug 2014

Ich bin kein Experte, aber es hört sich für mich nach einem guten Ansatz an. Ich hoffe...


Folgen Sie uns
       


Leistungsschutzrecht und Uploadfilter - Golem.de Live

Nach der EU-Kommission und den Mitgliedstaaten sprach sich am Mittwoch in Brüssel auch der Rechtsausschuss des Europaparlaments für ein Recht aus, das die digitale Nutzung von Pressepublikation durch Informationsdienste zustimmungspflichtig macht. Ein Uploadfilter, der das Hochladen urheberrechtlich geschützter Inhalte verhindern soll, wurde ebenfalls auf den Weg gebracht. Doch was bedeutet diese Entscheidung am Ende für den Nutzer? Und wer verfolgt eigentlich welche Interessen in der Debatte?

Leistungsschutzrecht und Uploadfilter - Golem.de Live Video aufrufen
Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Miix 630 Lenovos ARM-Detachable kostet 1.000 Euro
  2. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  3. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018

    •  /