Neues IT-Sicherheitsgesetz So sollen Firmen auf Hackerangriffe reagieren

Die Bundestagsverwaltung kämpft immer noch mit den Folgen des Hackerangriffs - gleichzeitig haben die Abgeordneten jetzt ein IT-Sicherheitsgesetz beschlossen. Wer muss sich daran halten, was soll sicherer werden, wo liegen die Kritikpunkte? Der Überblick.
Netzwerkkabel: Unternehmen müssen Hackerangriffe künftig melden

Netzwerkkabel: Unternehmen müssen Hackerangriffe künftig melden

Foto: Felix Kästle/ dpa

Der Bundestag hat an diesem Freitag strengere Regeln für die IT-Sicherheit in Unternehmen beschlossen. Rund 2000 Unternehmen sind künftig verpflichtet, Hackerangriffe zu melden und ihre Netzwerke nach Mindeststandards auszurüsten. Antworten auf die vier wichtigsten Fragen zum neuen Gesetz:

1. Worum geht es beim IT-Sicherheitsgesetz?

Unternehmen sollen sich selbst besser vor Angriffen aus dem Netz schützen. Dafür müssen sie gewisse Mindestanforderungen erfüllen und vorweisen, dass ihre IT-Infrastruktur gegen Cyberangriffe gewappnet ist. Um die Auflagen zu erfüllen, haben die Unternehmen zwei Jahre lang Zeit.

Die Konzerne sind zudem dazu verpflichtet, eine Meldung an das BSI zu schicken, sobald kriminelle Hacker den Konzern attackieren. Die Vorfälle werden anonym übermittelt. Nur wenn der Ausfall von Systemen droht, soll der Name des Konzerns genannt werden. Wer sich nicht an die neuen Regeln hält, dem droht eine Strafe von bis zu 100.000 Euro.

Die neuen Regeln verpflichten darüber hinaus Telekommunikationsanbieter, ihre Kunden zu warnen, wenn sie den Missbrauch einer Webseite oder einen Angriff auf einen Computer feststellen. Das betrifft Kunden beispielsweise dann, wenn ein Rechner für ein Bot-Netzwerk eingespannt wird. Für die Angriffserkennung dürfen die Telekommunikationsanbieter die Verkehrsdaten aufzeichnen und bis zu sechs Monate lang speichern.

2. Wer muss sich an die neuen Regeln halten?

Mit dem Gesetz sollen vor allem wichtige Wirtschaftsbereiche vor Cyberattacken geschützt werden. Dazu zählen etwa 2000 Unternehmen, darunter sind beispielsweise Energieversorger, Krankenhäuser und Banken. Die Regierung begründet die Vorschriften damit, dass sich erfolgreiche Angriffe in diesen Bereichen auf das Gemeinwesen auswirken könnten. Die neuen Regelungen sollen sicherstellen, dass etwa die Wasserversorgung, der Bahnverkehr und die Telekommunikation nicht gefährdet werden.

Auch Bundesbehörden müssen sich an das Gesetz halten. Das gilt jedoch nicht für den Bundestag, der selbst für die IT-Sicherheit zuständig ist. Dabei zeigt der jüngste massive Hackerangriff auf das Parlament, dass auch die Rechner der Abgeordneten verwundbar sind. Vier Wochen nach der Entdeckung einer Cyberattacke auf den Bundestag ist es den IT-Experten noch immer nicht gelungen, die Schadsoftware aus dem Netzwerk zu verbannen.

3. Wer befürwortet das Gesetz?

Die Bundesregierung will mit dem Gesetz die Gefahren von Cyberangriffen reduzieren. Die Meldepflicht soll dabei helfen, sich gegen künftige Angriffe besser zu wappnen. Bundesinnenminister Thomas de Maizière (CDU) bezeichnet die geplanten Maßnahmen als einen "wichtigen Schritt". IT-Sicherheit sei "ein zentraler Baustein der öffentlichen, der inneren Sicherheit".

Ein wenig vorsichtiger drückt sich das BSI aus. Man gehe nicht davon aus, dass das Gesetz absolute Sicherheit bringe. Aber laut BSI-Präsident Michael Hange machen die Regeln es den kriminellen Hackern zumindest schwerer. "Auch Angreifer haben ein Kosten-Nutzen-Modell und sagen, wenn wir leicht reinkommen, tun wir es", sagt Hange.

4. Welche Kritik gibt es an dem Gesetz?

Die Opposition empfiehlt der Regierung, zunächst in den eigenen Reihen für IT-Sicherheit zu sorgen. Angesichts der noch immer andauernden Attacke auf den Bundestag sagt der Grünen-Abgeordnete Dieter Janecek: "Wir stehen ganz schön peinlich da, wenn wir heute über ein IT-Sicherheitsgesetz beraten, wir das aber selber nicht hinkriegen." Außerdem halten die Grünen das Gesetz für lückenhaft und fordern etwa, auch öffentliche Stellen zu schützen. Die Internetaktivisten von "Netzpolitik" bestätigen das. Dort heißt es : "Die IT-Sicherheit wird dadurch nicht erhöht, sondern simuliert."

Datenschutzaktivisten befürchten, dass mit dem Gesetz eine Vorratsdatenspeicherung über die Hintertür eingeführt wird. Denn das Gesetz erlaubt Telekommunikationsanbietern, Daten über das Verhalten ihrer Nutzer zu speichern. Der Abgeordnete der Piraten im Kieler Landtag, Patrick Breyer, sagte der Nachrichtenagentur dpa: "Technisch lässt sich das nicht rechtfertigen". Der IT-Sicherheit würde es dienen, "wenn man möglichst wenige Daten sammeln würde".

Auch die Wirtschaft sieht das neue Gesetz skeptisch. Denn es wird wohl teuer: Laut einer Studie  könnte die Umsetzung 1,1 Milliarden Euro kosten. Außerdem kritisieren die Unternehmen, dass nicht klar formuliert sei, welche Unternehmen nun zu den Branchen mit kritischer Infrastruktur gehörten und wie schwerwiegend ein Hackerangriff sein muss, um unter die Meldepflicht zu fallen. Die Unternehmen fürchten zudem, dass die Angaben über Hackerangriffe an die Öffentlichkeit gelangen - und sich damit negativ auf die Entscheidungen von Kunden und Aktionären auswirken könnten.

jbr/dpa/AFP/Reuters