Schutz vor Cyberattacken

De Maizières Plan für IT-Sicherheitsgesetz

19.08.2014
Wenn Hacker die IT-Systeme von Stromunternehmen oder Banken angreifen, kann das dramatische Folgen haben. Innenminister de Maizière will solche sensiblen Infrastrukturen besser schützen. Anlauf Nummer zwei für ein IT-Sicherheitsgesetz.

Die Bundesregierung will kritische Infrastrukturen wie Energie- und Telekommunikationsnetze besser vor Cyberangriffen schützen - und geht bei diesen Plänen auf die Wirtschaft zu. Innenminister Thomas de Maizière (CDU) will die betroffenen Betreiber verpflichten, Angriffe auf ihre IT-Systeme zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen.

Das steht nach dpa-Informationen im Entwurf für das IT-Sicherheitsgesetz, das an diesem Dienstag in die Ressortabstimmung gehen soll. Die Firmen aus diesen sensiblen Bereichen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Außerdem sind für die zuständigen Sicherheitsbehörden mehr Geld und Personal eingeplant.

Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische Folgen haben würde. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger.

Wirtschaft wehrte sich

Bereits in der vergangenen Legislaturperiode hatte die damalige Bundesregierung einen Gesetzentwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht (lesen Sie dazu auch unser damaliges Interview mit dem BSI-Vertreter Holger Junker, Anm. d. Red.). Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren - nicht zuletzt wegen Widerständen aus der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Cyberattacken werden. Firmen hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht.

Die will ihnen die Regierung nun in den meisten Fällen zugestehen - nämlich dann, wenn eine Firma einen Cyberangriff bemerkt, dadurch aber keine größeren Störungen entstehen.

Mindeststandards erforderlich

In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Firmen dann alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen.

Die Zuständigkeit des Bundeskriminalamts (BKA) soll ausgeweitet werden auf bestimmte Cyberdelikte, für die bislang noch die Länder verantwortlich sind.

Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen: Das BKA soll 108 Stellen extra bekommen. Die Kosten dafür werden auf 7,3 Millionen Euro jährlich beziffert. Hinzu kommen etwa 680 000 Euro im Jahr an Sachmitteln.

Personal soll aufgestockt werden

Beim BSI sind 133 zusätzliche Stellen vorgesehen. Das soll 8,8 Millionen Euro jährlich kosten. Außerdem sind noch einmal fünf Millionen Euro im Jahr für Ausstattung beim BSI eingeplant.

Auch beim Bundesamt für Verfassungsschutz, das die Wirtschaft bei der Abwehr von Spionage und Cyberattacken unterstützt, wird das Personal aufgestockt (55 zusätzliche Stellen), beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ebenso - wenn auch in deutlich kleinerem Umfang (9 Stellen extra).

BSI und BKA wollen im Kampf gegen Cyberspionage und -kriminalität aufrüsten.
BSI und BKA wollen im Kampf gegen Cyberspionage und -kriminalität aufrüsten.
Foto: peshkova - Fotolia.com

Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. Internet-Provider etwa sollen verpflichtet werden, ihre Nutzer im Fall einer Systemstörung zu informieren.

"Die Welt" und das "Handelsblatt" hatten als erstes über Details aus dem Gesetzentwurf berichtet. (dpa/sh)

Im Video: Kapitulation der IT-Sicherheit

„Wir erleben die Kapitulation der IT-Sicherheit“, behauptet Frank Rieger vom Chaos Computer Club auf dem Bonner Dialog für Cybersicherheit (BDCS). Die Deutsche Telekom malt kein so düsteres Bild. Thomas Tschersich, Sicherheitschef bei den Bonnern, fordert von der Politik einheitliche Spielregeln: „Das Internet umspannt die Welt – doch die Rechtsräume enden noch an nationalen Grenzen. Das muss zusammen gebracht werden.“ Das Unternehmen wartet aber nicht auf die Diplomatie - es reagiert mit eigenen Sicherheitspaketen nach dem Vorbild der Automobilindustrie.

Zur Startseite