Meldepflicht für Hackattacken Ministerien wollen IT-Sicherheitsgesetz auf den Weg bringen

Womöglich gibt es noch vor der Bundestagswahl ein IT-Sicherheitsgesetz. Nach Spannungen zwischen Wirtschafts- und Innenministerium gibt es jetzt einen Entwurf, den die Branchenverbände kommentieren sollen - sie werden einiges zu kritisieren finden.

Bundesinnenministerium: Einigung über IT-Sicherheitsgesetz
DPA

Bundesinnenministerium: Einigung über IT-Sicherheitsgesetz


Berlin/Hamburg - Der Entwurf für ein Gesetz zur IT-Sicherheit hat offenbar die erste Hürde passiert. Es erscheint deshalb möglich, dass das Gesetz noch in dieser Legislaturperiode in Kraft tritt. Ursprünglich hatte der Entwurf für Spannungen insbesondere zwischen Bundeswirtschafts- und -innenministerium geführt. Wirtschaftsminister Philipp Rösler (FDP) befürchtete dem Vernehmen nach eine zu starke Beanspruchung deutscher Unternehmen durch das Gesetz. Nun wird über den Entwurf des Bundesinnenministeriums von Ministerien und Verbänden beraten.

Ein Sprecher des Bundeswirtschaftministeriums betonte, die Zustimmung des Ministeriums zur Einleitung der sogenannten Ressortkoordination bedeute nicht, dass alle offenen Fragen bereits geklärt seien, das habe das Wirtschaftsministerium auch gegenüber dem Bundesinnenministerium klargestellt. "Weitere Abstimmung" sei erforderlich, die Belange der Wirtschaft müssten Gehör finden.

Der Entwurf wurde nun den betroffenen Branchenverbänden zugeleitet. Das Gesetz soll Mindeststandards der IT-Sicherheit für kritische Infrastrukturen sicherstellen und gleichzeitig eine Meldepflicht für schwerwiegende Hackerangriffe oder andere Beeinträchtigungen enthalten.

Eine weitere Änderung betrifft die Befugnisse des Bundeskriminalamtes (BKA): Es wäre dem Entwurf zufolge künftig auch für eine Reihe von IT-Straftaten gegen "Behörden oder Einrichtungen des Bundes" zuständig, neben Computersabotage etwa auch für das Abfangen und Ausspähen von Daten. De facto würden mit dem neuen Gesetz eine ganze Reihe von anderen Gesetzen verändert: das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI), das BKA-Gesetz, das Telemediengesetz und das Telekommunikationsgesetz.

Meldepflicht auch für Telekommunikationsunternehmen

Ein Sprecher des Innenministeriums begrüßte die Entwicklung: "Mit der Zuleitung an die Verbände ist ein wichtiger Verfahrensschritt erreicht." Das Gesetz sei notwendig, damit "Deutschland bei der Sicherheit seiner kritischen Infrastrukturen weiterhin - auch im Hinblick auf die Cybersicherheit - an der Weltspitze bleibt".

Der aktuelle Entwurf, der SPIEGEL ONLINE vorliegt, enthält eine ganze Reihe von Vorgaben, die Unternehmen, die am Betrieb kritischer Infrastrukturen wie dem Strom- oder Wasserversorgungsnetz beteiligt sind, künftig einhalten müssten. So wären diese Unternehmen verpflichtet, sich an "branchenspezifische Sicherheitsstandards" zu halten, die von den Branchenverbänden erarbeitet und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden müssten. Externe Dienstleister müssten alle zwei Jahre die Einhaltung dieser Standards prüfen und Mängel ans BSI melden. Auch die Betreiber von Kommunikationsnetzen unterlägen mit dem neuen Gesetz einer Meldepflicht bei größeren Störungen oder Hackattacken auf Nutzerdaten.

Auch Medienunternehmen sollen mit dem Gesetz zum "Schutz von Telekommunikations- und Datenverarbeitungssystemen gegen unerlaubten Zugriff" verpflichtet werden. Allerdings mit weit weniger konkreten Anforderungen als sie an die Infrastrukturbetreiber gestellt werden.

Auch der bearbeitete Entwurf enthält eine Meldepflicht für "schwerwiegende Beeinträchtigungen informationstechnischer Systeme, Komponenten und Prozesse" bei den Betreibern kritischer Infrastrukturen. Dieser Punkt war bereits in dem ersten bekanntgewordenen Entwurf des Gesetzes zu finden und hatte mancherorts für Verstimmung gesorgt. Verbände und Unternehmen sehen diese Maßgabe bislang kritisch, nicht zuletzt deshalb, weil gerade börsennotierte Unternehmen durch die verpflichtende Veröffentlichung von Hackattacken Imageschäden und andere Nachteile befürchten.

Das Bundesinnenministerium steht mit seinem Wunsch nach einer gesetzlich verordneten Wehrhaftigkeit im Netz allerdings nicht allein. Auch in den USA sind entsprechende Maßnahmen in Vorbereitung, EU-Kommissarin Neelie Kroes möchte eine Meldepflicht für Cyber-Angriffe auch auf europäischer Ebene einführen.

Update: Wir haben den obigen Artikel um eine konkrete Stellungnahme des Bundeswirtschaftsministeriums ergänzt.

cis



© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.