| Schutz vor Cyberattacken

Innenminister de Maizière legt Entwurf für IT-Sicherheitsgesetz vor

Die Bundesregierung will deutsche IT-Systeme besser vor Hackern schützen.
Bild: Haufe Online Redaktion

Die Bundesregierung will Deutschland beim Schutz von Kraftwerken, Banken oder Krankenhäusern vor Hackerangriffen international zum Spitzenreiter machen. Bundesinnenminister de Maizière hat dazu jetzt den Entwurf für ein neues IT-Sicherheitsgesetz vorgelegt.

Deutschland ist zunehmend Ziel von Cyberkriminellen. Wirtschaft, Bürger und auch der Staat selbst sind gleichermaßen betroffen. Bundesinnenminister de Maizière will mit neuen Sicherheitsvorschriften gegensteuern und die IT-Systeme und digitalen Infrastrukturen Deutschlands „zu den sichersten weltweit“ machen. Der jetzt vorgelegte Referentenentwurf für ein neues IT-Sicherheitsgesetz geht zunächst in die Ressortabstimmung.

Meldepflicht bei Angriffen

Die Betreiber kritischer Infrastrukturen sollen demnach verpflichtet werden, Angriffe auf ihre IT-Systeme zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen.

Die Firmen aus diesen sensiblen Bereichen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen.

Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische Folgen haben würde. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger.

Mindeststandard müssen vom BSI abgesegnet werden

In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Firmen dann alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen.

Zuständigkeiten des BKA ausgeweitet

Die Zuständigkeit des Bundeskriminalamts (BKA) soll ausgeweitet werden auf bestimmte Cyberdelikte, für die bislang noch die Länder verantwortlich sind.

Mehr Personal für Sicherheitsbehörden

Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen:

  • Das BKA soll 108 Stellen extra bekommen. Die Kosten dafür werden auf 7,3 Millionen Euro jährlich beziffert. Hinzu kommen etwa 680 000 Euro im Jahr an Sachmitteln.
  • Beim BSI sind 133 zusätzliche Stellen vorgesehen. Das soll 8,8 Millionen Euro jährlich kosten. Außerdem sind noch einmal fünf Millionen Euro im Jahr für Ausstattung beim BSI eingeplant.
  • Auch beim Bundesamt für Verfassungsschutz, das die Wirtschaft bei der Abwehr von Spionage und Cyberattacken unterstützt, wird das Personal aufgestockt (55 zusätzliche Stellen), beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ebenso - wenn auch in deutlich kleinerem Umfang (9 Stellen extra).

Internetprovider müssen Bürger bei Störungen informieren

Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. Internetprovider etwa sollen verpflichtet werden, ihre Nutzer im Fall einer Systemstörung zu informieren.

Entwurf der Vorgängerregierung war am Widerstand der Wirtschaft gescheitert  

Bereits in der vergangenen Legislaturperiode hatte die damalige Bundesregierung einen Gesetzentwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren - nicht zuletzt wegen Widerständen aus der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Cyberattacken werden. Firmen hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht. Die will ihnen die Regierung nun in den meisten Fällen zugestehen - nämlich dann, wenn eine Firma einen Cyberangriff bemerkt, dadurch aber keine größeren Störungen entstehen.

Lesen Sie dazu auch: IT-Sicherheitsgesetz - Das hätte teuer werden können 

Schlagworte zum Thema:  Cyberkriminalität, IT-Sicherheit, Datensicherheit, Hacker

Aktuell

Meistgelesen