"Erstes IT-Sicherheitsgesetz": Bundesregierung plant Meldepflicht für Cyber-Angriffe

Die Bundesregierung will wichtige Infrastruktur sicherer machen - unter anderem mit einer Meldepflicht für Cyber-Angriffe. In einem Zeitungsbeitrag wirbt Innenminister Thomas de Maizière für das "Erste IT-Sicherheitsgesetz".

Bundesinnenminister Thomas de Maizière: Erstes IT-Sicherheitgesetz

Foto: Maurizio Gambarini/ dpa

Das Bundesinnenministerium plant Veränderungen in der IT-Sicherheit und beim Datenschutz. In einem Gastbeitrag für die Montags-"FAZ"  schreibt Innenminister Thomas de Maizière, dass die Bundesregierung in ihrem "Ersten IT-Sicherheitsgesetz" branchenweite Standards einführen wird. Davon betroffen seien Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen.

Das IT-Sicherheitsniveau sei in diesen Bereichen noch sehr unterschiedlich, heißt es: "Ausfälle der von diesen kritischen Infrastrukturen genutzten IT-Systeme könnten weitreichende, schlimmstenfalls sogar dramatische Folgen für unsere Gesellschaft haben." Früher habe die Regierung die Pflicht zum Anschnallen beim Autofahren geregelt, schreibt de Maizière. "Heute brauchen wir Sicherheitsgurte für die IT der kritischen Infrastrukturen."

Welche Einzelsegmente der genannten Branchen die Bundesregierung als kritisch und somit regulierungsbedürftig sieht, soll laut de Maizière mit Beratung aus der Wirtschaft entschieden werden. Unterstützt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen die Unternehmen zudem selbst "sinnvolle branchenweite Standards nach dem aktuellen Stand der Technik" erarbeiten.

Meldepflicht für Cyber-Angriffe kommt

Mit dem IT-Sicherheitsgesetz soll eine Pflicht zum Melden von Cyber-Angriffen eingeführt werden. Sie soll für die Betreiber kritischer Infrastrukturen gelten, Meldungen an das BSI sollen auch ohne namentliche Nennung des Unternehmens möglich sein. Voraussetzung dafür sei, dass es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist. Das Vorhaben, eine ähnliche Meldepflicht einzuführen, gab es bereits unter Innenminister Hans-Peter Friedrich.

Vom Sicherheitsgesetz abgesehen, fordert de Maizière in seinem Zeitungsbeitrag eine Modernisierung des Datenschutzes. Die bisher geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht: "Wenn wir die Chancen der digitalen Revolution für den Einzelnen und die Gesellschaft bestmöglich nutzen wollen, brauchen wir Schutzkonzepte, die international wirksam und in der digitalen Welt tatsächlich durchsetzbar sind." Die Verabschiedung einer EU-Datenschutzverordnung habe für de Maizière deshalb "überragende Bedeutung". Die Verordnung werde das deutsche Recht zum Thema "komplett" ersetzen.

Die zum Teil heftig kritisierte "Digitale Agenda" der Bundesregierung verteidigt de Maizière: Sie sei ein "Spiegel einer politischen und gesellschaftlichen Debatte, (...) die auf vieles, aber noch nicht auf alles eine Antwort hat und haben kann."

Eine erste Version der "Digitalen Agenda" war Mitte Juli an die Öffentlichkeit gekommen - in der damals geleakten Version fanden sich jedoch nur wenige konkrete Vorhaben. Die finale Version der Agenda soll am Mittwoch der Öffentlichkeit präsentiert werden.

mbö