Categories: Politik

IT-Sicherheitsgesetz: Bundeskabinett beschließt Entwurf

Für einen besseren Schutz kritischer Infrastrukturen sowie von IT-Systemen hat das Bundeskabinett am Mittwoch einen Entwurf für ein IT-Sicherheitsgesetzt beschlossen. Das im März auf den Weg gebrachte Gesetz sieht Mindeststandards für die IT-Sicherheit und eine Meldepflicht von Sicherheitsvorfällen für Firmen vor.

“Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild”, sagt Bundesinnenminister Thomas de Maizière. (Bild: BPA/Jesco Denzel)

Bundesinnenminister Thomas de Maizière sagte bei der Präsentation des Gesetzes in Berlin: “Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild. Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.” Es sei sorgfältig vorbereitet und umfänglich beraten.

Mit dem Entwurf zum IT-Sicherheitsgesetz will die Bundesregierung nach eigener Aussage die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet verbessern. Für diesen Zweck sollen unter anderem die Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt werden.

Das BSI erhält demnach weiterreichenden Warnbefugnissen und soll als zentrale Meldestelle vermehrt Beratungsfunktionen bereitstellen. Darüber hinaus verfügt das BKA künftig über erweiterte Ermittlungszuständigkeiten im Bereich der Computerdelikte. Dies gilt vor allem für den Fall von Online-Angriffen auf Einrichtungen des Bundes.

Anbieter müssen Nutzer über Störungen informieren

Außerdem sollen die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienrecht erhöht werden, um die IT-Sicherheit im Internet zu steigern. In Zukunft müssen sie Nutzer über Störungen informieren, die von deren Systemen ausgehen, beispielsweise durch Botnetze.

Das gilt jedoch nur, wenn der Anbieter den Nutzer schon kennt. Ansonsten müsste der Provider umfangreiche Verbindungs- und Standortdaten auswerten, um den Betroffenen zu ermitteln.

Umstrittene Passagen gestrichen

Nach Rücksprache mit dem Bundesjustizministerium befinden sich nun einige umstrittene Passagen des ursprünglichen Entwurfs des Bundesinnenminsteriums nicht mehr in der finalen Fassung des IT-Sicherheitsgesetzes.

Datenschützer und Bürgerrechtler sahen in einem jetzt entfernten Zusatzparagrafen zum Telemediengesetz, der Diensteanbietern zur Störungsbekämpfung eine halbjährige Aufbewahrungsfrist für Nutzerdaten einräumte, eine neue Form der Vorratsdatenspeicherung.

Der Hightech-Verband Bitkom zeigt sich mit dem jetzt vom Bundeskabinett verabschiedeten Entwurf zum IT-Sicherheitsgesetz grundsätzlich zufrieden: “Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten”, sagte Bitkom-Präsident Dieter Kempf. “Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden.”

Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert. Ebenfalls positiv sieht der Bitkom, dass die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards eingebunden wird. Nur so lasse sich das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen.

IT-Sicherheitsgesetz lässt Fragen offen

Oliver Sueme, eco-Vorstand Politik und Recht, ist der Meinung, dass die Regierung “Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben” vermeiden müsse. (Bild: eco)

Allerdings gebe es bei der konkreten Umsetzung des Gesetzes noch zahlreiche Unsicherheiten. So sei noch unklar, für welche Unternehmen das Gesetz tatsächlich gilt und welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden.

Der Verband der deutschen Internetwirtschaft e.V. (eco) sieht noch offene Fragen im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk und Informationssicherheit (NIS-Richtlinie).

“Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‘Vorpreschen’ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt”, sagte Oliver Süme, eco-Vorstand Politik und Recht. Stattdessen müssten europaweit einheitliche Regelungen und Standards geschaffen werden.

Als nächstes muss der beschlossene Regierungsentwurf Bundestag und Bundesrat passieren. Dabei könnte es noch zu Änderungen kommen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

7 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago