Abo
  • Services:
Anzeige
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

IT-Sicherheitsgesetz: Telekomfirmen müssen Nutzer über Cyberangriffe informieren

Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt  eine Schalttafel im stillgelegten Kraftwerkes Lubmin.
Kritische Infrastrukturen wie Kraftwerke sollen besser vor Cyberangriffen geschützt werden. Das Foto zeigt eine Schalttafel im stillgelegten Kraftwerkes Lubmin. (Bild: Thomas Peter/Reuters)

Das Innenministerium hat den Entwurf für das IT-Sicherheitsgesetz veröffentlicht. Die Telekomfirmen müssen ihre Nutzer künftig direkt auf Sicherheitsprobleme hinweisen und dürfen die Nutzerdaten zur Abwehr von Störungen verwenden.

Das Bundesinnenministerium hat den vollständigen Entwurf für das neue IT-Sicherheitsgesetz präsentiert. Es setzt Mindeststandards für die IT-Sicherheit und sieht Meldepflichten für Cyberangriffe in Unternehmen der kritischen Infrastruktur vor. "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer kritische Infrastrukturen betreibt, der muss sie sicher betreiben", sagte Innenminister Thomas de Maizière zur Präsentation des 59-seitigen Entwurfs. Bereits am Vortag hatte der Minister die Grundzüge des Entwurfs genannt, mit dem Deutschlands IT-Strukturen "zu den sichersten Systemen weltweit" gemacht werden sollen.

Anzeige

Der Entwurf nimmt umfangreiche Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus sollen das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG), das Außenwirtschaftsgesetz und das Bundeskriminalamtsgesetz angepasst werden. Daraus ergeben sich laut Ministerium Regelungen zu fünf Themenfeldern: Verbesserung der IT-Sicherheit bei Unternehmen, Schutz der Bürger in einem sicheren Netz, Schutz der IT des Bundes, Stärkung des BSI und Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

Individuelle Hinweise an Nutzer

De Maizière hatte am Montag bereits angekündigt, dass von Cyberangriffen betroffene Unternehmen Vorfälle auch anonym melden könnten. Dies wird in Paragraf 8b, Absatz 4 des BSI-Gesetzes geregelt, gilt allerdings nicht, wenn der Angriff zu einem "Ausfall oder zu einer Beeinträchtigung der kritischen Infrastruktur" führt, wie es in Absatz 5 heißt. Die Meldepflicht gilt nicht für Unternehmen, "soweit diese ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen". Diese müssen bekanntgewordene Störungen der Bundesnetzagentur "unverzüglich" mitteilen. Das Innenministerium begründete die Sonderregelung auf Anfrage damit, dass bereits bestehende Meldewege nicht verändert werden sollten.

Anschließend kann die Bundesnetzagentur die Öffentlichkeit über die Vorfälle unterrichten, "wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt", wie es im novellierten TKG-Gesetz heißen soll. Die Telekommunikationsfirmen dürfen "die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden", wenn sie Störungen und Fehler ihrer Anlagen beheben wollen. Dies gelte insbesondere bei Botnetzen, Honeypots und Spamtraps, heißt es zur Begründung.

Falls die Störungen von Nutzern ausgingen, müssten diese "auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden", um die Störungen erkennen und beseitigen zu können. Eine "individuelle Untersuchung der Technik oder eine individuelle Beratung des Kunden" sei dabei nicht erforderlich, heißt es in der Gesetzesbegründung. Die Informations- und Hinweispflicht könne "beispielsweise über Umleitung der betroffenen Nutzer auf eine Hinweisseite realisiert werden". Auf Anfrage erläuterte das Innenministerium, dass die Informationspflicht vom konkreten Fall abhänge. Je nach Größenordnung könnten Nutzer durchaus individuell informiert werden.

Mehr als 270 neue Stellen in den Behörden

Die Firmen in diesen Bereichen der kritischen Infrastruktur sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Dazu zählen Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. De Maizière wies Kritik am erhöhten Bürokratieaufwand durch das Gesetz und an damit verbundenen Kosten zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten, sagte de Maizière am Dienstag in Bonn.

Das Gesetz plant für die zuständigen Sicherheitsbehörden mehr Geld und Personal ein. Beim Bundeskriminalamt (BKA), beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen mehr als 270 neue Stellen entstehen. Für die zusätzlichen Personalkosten und Sachmittel sind mehr als 20 Millionen Euro eingeplant.

Widerstand aus der Wirtschaft berücksichtigt

Das BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Bereits in der vergangenen Legislaturperiode hatte die damalige schwarz-gelbe Bundesregierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend, es offenzulegen, wenn sie Opfer von Cyberattacken werden. Sie hatten unter anderem Anonymität bei solchen Hinweisen gefordert.

Bis zum Ende des Jahres soll der Gesetzentwurf vom Bundeskabinett verabschiedet werden. Anschließend folgen die Beratungen im Bundestag. Nach Inkrafttreten des Gesetzes dauert es noch sechs Monate, bis die Meldepflicht für Cyberangriffe wirksam wird.

Nachtrag vom 19. August 2014, 17:40 Uhr

Der Branchenverband Bitkom begrüßte "im Grundsatz" den Entwurf, forderte aber mehr Unterstützung für mittelständische Unternehmen bei der Verbesserung ihrer IT-Sicherheit. Nach Angaben des Verbandes ergeben sich für die deutsche Wirtschaft aus der Meldepflicht Kosten in Höhe von bis zu 1,1 Milliarden Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Mit Blick auf die Rolle des BSI forderte Bitkom, dass die Meldungen nicht direkt vom Staat, "sondern von einer unabhängigen Stelle gesammelt und in anonymisierter Form an die Behörden weitergeleitet werden".

Scharfe Kritik an dem Gesetzentwurf kam von den Piraten. "Wir brauchen eine zentrale Meldestelle, bei der Angriffe gemeldet und für alle einsehbar veröffentlicht werden. Nur dann können sich Kunden über das Sicherheitsniveau der Anbieter informieren und Unternehmen wirksame Gegenmaßnahmen gegen Angriffe und Angriffsmuster entwickeln", sagte Parteichef Stefan Körner. Der vorgelegte Entwurf sei "ein Care-Paket für BKA, Verfassungsschutz und BSI ohne nennenswerten Mehrwert für Bürger und Unternehmen".


eye home zur Startseite
FreiGeistler 20. Aug 2014

...Der Ansatz der Piraten mit der Zentralen Meldestelle wird wohl gegen Lobbyismus und...

oggimog 20. Aug 2014

Ich bin kein Experte, aber es hört sich für mich nach einem guten Ansatz an. Ich hoffe...



Anzeige

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Dirk Rossmann GmbH, Burgwedel


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Spectre

    Intel verteilt Microcode für Client- und Server-CPUs

  2. Aldi Talk

    Nachbuchung des ungedrosselten Datenvolumens wird teurer

  3. Stiftung Warentest

    Zu wenig Datenschutz in Dating-Apps

  4. Mobilfunk

    Vodafone und Telefónica nutzen Glasfaser gemeinsam

  5. Indiegames-Rundschau

    Tiefseemonster, Cyberpunks und ein Kelte

  6. Android P

    Hintergrund-Apps wird Zugriff auf Kamera und Mikro verwehrt

  7. Online-Glücksspiele

    Bei Finanzsperren droht illegale Vorratsdatenspeicherung

  8. Betaversionen

    AirPlay 2 aus iOS und TVOS 11.3 entfernt

  9. Homee

    Homekit mit Z-Wave, Zigbee und Enocean verbinden

  10. Apfel

    Apple lässt sich Regenbogenlogo schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Besteht denn abseits von Großstadt-Hipstern...

    siedenburg | 10:25

  2. Re: Selbst verschuldet.

    Dwalinn | 10:25

  3. Re: Warum sind smart Lautsprecher so beliebt?

    TomasVittek | 10:24

  4. Re: Bastelplatine?

    DY | 10:22

  5. Re: Datenbanken, Container, Virtuelle Server...

    JouMxyzptlk | 10:22


  1. 10:33

  2. 10:16

  3. 09:40

  4. 09:08

  5. 09:06

  6. 08:33

  7. 08:01

  8. 07:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel