Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Neues IT-Sicherheitsgesetz: So sollen Firmen auf Hackerangriffe reagieren

Netzwerkkabel: Unternehmen müssen Hackerangriffe künftig melden Zur Großansicht
DPA

Netzwerkkabel: Unternehmen müssen Hackerangriffe künftig melden

Die Bundestagsverwaltung kämpft immer noch mit den Folgen des Hackerangriffs - gleichzeitig haben die Abgeordneten jetzt ein IT-Sicherheitsgesetz beschlossen. Wer muss sich daran halten, was soll sicherer werden, wo liegen die Kritikpunkte? Der Überblick.

Der Bundestag hat an diesem Freitag strengere Regeln für die IT-Sicherheit in Unternehmen beschlossen. Rund 2000 Unternehmen sind künftig verpflichtet, Hackerangriffe zu melden und ihre Netzwerke nach Mindeststandards auszurüsten. Antworten auf die vier wichtigsten Fragen zum neuen Gesetz:

1. Worum geht es beim IT-Sicherheitsgesetz?

Unternehmen sollen sich selbst besser vor Angriffen aus dem Netz schützen. Dafür müssen sie gewisse Mindestanforderungen erfüllen und vorweisen, dass ihre IT-Infrastruktur gegen Cyberangriffe gewappnet ist. Um die Auflagen zu erfüllen, haben die Unternehmen zwei Jahre lang Zeit.

Die Konzerne sind zudem dazu verpflichtet, eine Meldung an das BSI zu schicken, sobald kriminelle Hacker den Konzern attackieren. Die Vorfälle werden anonym übermittelt. Nur wenn der Ausfall von Systemen droht, soll der Name des Konzerns genannt werden. Wer sich nicht an die neuen Regeln hält, dem droht eine Strafe von bis zu 100.000 Euro.

Die neuen Regeln verpflichten darüber hinaus Telekommunikationsanbieter, ihre Kunden zu warnen, wenn sie den Missbrauch einer Webseite oder einen Angriff auf einen Computer feststellen. Das betrifft Kunden beispielsweise dann, wenn ein Rechner für ein Bot-Netzwerk eingespannt wird. Für die Angriffserkennung dürfen die Telekommunikationsanbieter die Verkehrsdaten aufzeichnen und bis zu sechs Monate lang speichern.

2. Wer muss sich an die neuen Regeln halten?

Mit dem Gesetz sollen vor allem wichtige Wirtschaftsbereiche vor Cyberattacken geschützt werden. Dazu zählen etwa 2000 Unternehmen, darunter sind beispielsweise Energieversorger, Krankenhäuser und Banken. Die Regierung begründet die Vorschriften damit, dass sich erfolgreiche Angriffe in diesen Bereichen auf das Gemeinwesen auswirken könnten. Die neuen Regelungen sollen sicherstellen, dass etwa die Wasserversorgung, der Bahnverkehr und die Telekommunikation nicht gefährdet werden.

Auch Bundesbehörden müssen sich an das Gesetz halten. Das gilt jedoch nicht für den Bundestag, der selbst für die IT-Sicherheit zuständig ist. Dabei zeigt der jüngste massive Hackerangriff auf das Parlament, dass auch die Rechner der Abgeordneten verwundbar sind. Vier Wochen nach der Entdeckung einer Cyberattacke auf den Bundestag ist es den IT-Experten noch immer nicht gelungen, die Schadsoftware aus dem Netzwerk zu verbannen.

3. Wer befürwortet das Gesetz?

Die Bundesregierung will mit dem Gesetz die Gefahren von Cyberangriffen reduzieren. Die Meldepflicht soll dabei helfen, sich gegen künftige Angriffe besser zu wappnen. Bundesinnenminister Thomas de Maizière (CDU) bezeichnet die geplanten Maßnahmen als einen "wichtigen Schritt". IT-Sicherheit sei "ein zentraler Baustein der öffentlichen, der inneren Sicherheit".

Ein wenig vorsichtiger drückt sich das BSI aus. Man gehe nicht davon aus, dass das Gesetz absolute Sicherheit bringe. Aber laut BSI-Präsident Michael Hange machen die Regeln es den kriminellen Hackern zumindest schwerer. "Auch Angreifer haben ein Kosten-Nutzen-Modell und sagen, wenn wir leicht reinkommen, tun wir es", sagt Hange.

4. Welche Kritik gibt es an dem Gesetz?

Die Opposition empfiehlt der Regierung, zunächst in den eigenen Reihen für IT-Sicherheit zu sorgen. Angesichts der noch immer andauernden Attacke auf den Bundestag sagt der Grünen-Abgeordnete Dieter Janecek: "Wir stehen ganz schön peinlich da, wenn wir heute über ein IT-Sicherheitsgesetz beraten, wir das aber selber nicht hinkriegen." Außerdem halten die Grünen das Gesetz für lückenhaft und fordern etwa, auch öffentliche Stellen zu schützen. Die Internetaktivisten von "Netzpolitik" bestätigen das. Dort heißt es: "Die IT-Sicherheit wird dadurch nicht erhöht, sondern simuliert."

Datenschutzaktivisten befürchten, dass mit dem Gesetz eine Vorratsdatenspeicherung über die Hintertür eingeführt wird. Denn das Gesetz erlaubt Telekommunikationsanbietern, Daten über das Verhalten ihrer Nutzer zu speichern. Der Abgeordnete der Piraten im Kieler Landtag, Patrick Breyer, sagte der Nachrichtenagentur dpa: "Technisch lässt sich das nicht rechtfertigen". Der IT-Sicherheit würde es dienen, "wenn man möglichst wenige Daten sammeln würde".

Auch die Wirtschaft sieht das neue Gesetz skeptisch. Denn es wird wohl teuer: Laut einer Studie könnte die Umsetzung 1,1 Milliarden Euro kosten. Außerdem kritisieren die Unternehmen, dass nicht klar formuliert sei, welche Unternehmen nun zu den Branchen mit kritischer Infrastruktur gehörten und wie schwerwiegend ein Hackerangriff sein muss, um unter die Meldepflicht zu fallen. Die Unternehmen fürchten zudem, dass die Angaben über Hackerangriffe an die Öffentlichkeit gelangen - und sich damit negativ auf die Entscheidungen von Kunden und Aktionären auswirken könnten.

jbr/dpa/AFP/Reuters

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 36 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Wie wäre es mit einem einzigen Gesetz?
Banause_1971 12.06.2015
Personen, die keine Ahnung von dem haben, was sie tun, dürfen keinen PC besitzen. Aber solange es Personen im Bundestag gibt, die Links anklicken ohne zu wissen, wohin sie gehen,... solange es Personen im Bundestag gibt, die Mailanhänge bedenkenlos öffnen,.. solange wird es Probleme geben.
2. Oh weh
solid-arisch 12.06.2015
Jetzt ist Deutschland`s IT sicher - ein Gesetz wurde auf den Weg gebracht und Strafzahlungen sind auch schon angesetzt! ---Zitat--- Thomas de Maizière - bezeichnet die geplanten Maßnahmen als einen "wichtigen Schritt". IT-Sicherheit sei "ein zentraler Baustein der öffentlichen, der inneren Sicherheit". ---Zitatende--- Wenn IT Sicherheit ein zentraler Baustein ist, warum lässt man sich dann von NSA und BND abhören? Ach ja, bei denen sind die Daten ja sicher angekommen.
3. Schuster bleib bei deinen Leisten
Whow 12.06.2015
Ausgerechnet unser Bundestag, der nicht mal fähig ist die eigenen Daten zu schützen, beschliesst einen Gesetzesentwurf für Konzerne, die bestmöglich (und wirtschaftlich vertretbar) gegen Cyber Angriffe gerüstet sind. Ein Hacken von gesicherten Daten ist durch IT Spezialisten immer möglich. Bei den im Bundestag gehackten Rechnern kann nicht viel passieren. Wichtige Informationen können nicht auf den Rechnern abgelegt sein. Dies beweist die Poltik der letzten Jahre. Eine Säuberung von gehackten Rechnern ist technisch auch nicht immer möglich da bei einer Bereinigung des Rechners das BIOS mitspielt. Ist der Wurm im BIOS wird es zappenduster! Nach der Bereinigung spielt das BIOS automatisch den Trojaner wieder auf.
4. Die Interessen des Bürgers stören doch nur
verhetzungsschutz 12.06.2015
Zitat: "Die Unternehmen fürchten zudem, dass die Angaben über Hackerangriffe an die Öffentlichkeit gelangen - und sich damit negativ auf die Entscheidungen von Kunden und Aktionären auswirken könnten." Und genau das entlarvt die Gesetzesinitiative als die übliche Schmierenkomödie, mit der das Volk bloß ruhiggestellt und die Machtbefugnisse von Regierung und ihren gleichgeschalteten Behörden wieder einmal erweitert werden sollen. Eigentlich ist nämlich genau das die einzig sinnvolle Begründung: die Öffentlichkeit MUSS erfahren, mit welchen Sicherheitsproblemen die Unternehmen und Behörden zu kämpfen haben, weil nur so transparent wird, wenn Unternehmen oder Behörden diese Risiken auf den Bürger abwälzen. Es muß künftig möglich sein, Geschäftsführer oder Behördenleiter persönlich strafrechtlich und mit Schadenersatzforderungen zu belangen, wenn grob fahrlässig gehandelt wird. Nur dann werden Kosten für IT-Sicherheit akzeptiert und - selbstverständlich - in Produkte eingepreist werden. Und selbstverständlich dürfen sich erfolgreiche Hackerattacken nicht nur negativ auf "Entscheidungen von Kunden und Aktionären auswirken", sie SOLLEN es auch. Das Wettbewerbsprinzip als Grundlage der Marktwirtschaft verlangt das sogar.
5. PC-Führerschein
verhetzungsschutz 12.06.2015
Zitat von Banause_1971Personen, die keine Ahnung von dem haben, was sie tun, dürfen keinen PC besitzen. Aber solange es Personen im Bundestag gibt, die Links anklicken ohne zu wissen, wohin sie gehen,... solange es Personen im Bundestag gibt, die Mailanhänge bedenkenlos öffnen,.. solange wird es Probleme geben.
Ich bin absolut dafür, PC-Technik den Kraftfahrzeugen rechtlich gleichzustellen. Kein PC-Zugang ohne PC-Führerschein. Bei grob fahrlässigem Verhalten nur noch Führerschein nach "Idiotentest". Und für die einfach Strukturierten: nein, das ist selbstverständlich nicht ironisch oder scherzhaft gemeint.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Jörg Breithut sucht von Stuttgart aus nach Themen im Internet. Und schreibt sie dort auch wieder rein.

  • Blog von Jörg Breithut


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: