Cyberangriffe auf Unternehmen De Maizière präsentiert Entwurf für IT-Sicherheitsgesetz

Mit einem neuen IT-Sicherheitsgesetz will die Bundesregierung regeln, wie Unternehmen mit Cyberangriffen umgehen. Innenminister Thomas de Maizière hat jetzt einen Entwurf des Gesetzes vorgestellt.
Thomas de Maizière: Das Innenministerium präsentiert ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

Thomas de Maizière: Das Innenministerium präsentiert ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme"

Foto: Maurizio Gambarini/ dpa

Das Bundesinnenministerium hat am Dienstag einen Entwurf für ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" veröffentlicht . Grundzüge dieses neuen IT-Sicherheitsgesetzes hatte Innenminister Thomas de Maizière bereits am Montag in einem Zeitungsbeitrag vorgestellt, dazu zählt eine Pflicht für Firmen zum Melden von Cyberangriffen. Der Gesetzentwurf soll nun im Herbst gründlich diskutiert werden, erläuterte de Maizière. Er hoffe, dass vor Weihnachten im Kabinett darüber befunden werden könne.

Bei der Präsentation des Entwurfs sagte de Maizière, der Mittelstand solle mit dem Gesetz nicht drangsaliert werden. Es sei kluge Eigenvorsorge von Unternehmen, nicht Ziel von Angriffen zu werden. "Aber das, was für das Zusammenleben unserer Gesellschaft wichtig ist, das muss auch vor Angriffen möglichst geschützt werden."

Ziel des Gesetzes ist dem Entwurf zufolge "eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland". Die Systeme zur Datenverarbeitung müssten "der gestiegenen Bedrohungslage" angepasst werden. In einem Begleitschreiben heißt es zudem: "Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden."

Schäden durch Angriffe höher als Vorsorgekosten

Kritik an erhöhtem Bürokratieaufwand durch das Gesetz und damit verbundenen Mehrkosten lässt de Maizière nicht gelten. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten, findet er: Bei wirklich großen und für Deutschland gefährlichen Angriffen sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu berichten.

Tritt es in Kraft, würde das IT-Sicherheitsgesetz nur ausgewählte Unternehmen betreffen, aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen.

Firmen, die die Regierung zur kritischen Infrastruktur zählt, hätten maximal zwei Jahre Zeit, um ihre Schutzmaßnahmen auf den Stand der Technik zu bringen. Im Anschluss sollen mindestens alle zwei Jahre Überprüfungen der Sicherheitsvorkehrungen stattfinden. Die Firmen wären außerdem verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Warn- und Alarmierungskontakte zu nennen, über die sie jederzeit erreichbar sind.

mbö/dpa/AFP
Die Wiedergabe wurde unterbrochen.