Innenministerium plant IT-Sicherheitsgesetz

Die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, hat eine neue Security-Initiative umrissen. Mit einem IT-Sicherheitsgesetz sollten einschlägige Mindeststandards für Betreiber kritischer Infrastrukturen etwa in den Bereichen Energie, Informations- und Kommunikationstechnologien oder der Wasserversorgung verankert werden, erklärte die Staatssekretärin auf einem Symposium in Washington. Sie würden mit dem Vorhaben zudem dazu verpflichtet, "erhebliche IT-Sicherheitsvorfälle" zu melden.

Internetprovider sollen laut Rogall-Grothe künftig angehalten werden, ihren Kunden verstärkt Informationen über Schadsoftware sowie Mittel zur Störungsbeseitigung zur Verfügung zu stellen. Ihnen komme eine Schlüsselrolle für die Sicherheit des Cyberraums zu. Ferner sei eine Pflicht für Webseitenanbieter vorgesehen, "Schutzmaßnahmen gegen unerlaubte Zugriffe" zu implementieren. Neben diesen Vorstößen, die Private stärker in die Verantwortung nehmen wollen, solle das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch stärker zur Beratung und Unterstützung von Betreibern kritischer Infrastrukturen sowie der Wirtschaft insgesamt befähigt werden.

Laut einem heise online vorliegenden Eckpunktepapier für das IT-Sicherheitsgesetz soll das BSI künftig "Hard- und Softwarekomponenten" untersuchen, die die IT-Sicherheit fördern könnten, und die Ergebnisse veröffentlichen. Dies sei nötig, damit die Behörde ihre allgemeinen Aufgaben "möglichst effizient" erfüllen könne. Die für die Analyse nötigen Bestandteile soll das BSI "am Markt erwerben" dürfen. Dazukommen soll eine jährliche Berichtspflicht des Amtes zum Stand der IT-Sicherheit, um die Bevölkerung zu sensibilisieren.

Den Eckpunkten nach soll sich die Vorgabe zum Melden schwerer Sicherheitsprobleme auch auf Telekommunikationsanbieter allgemein beziehen. Diese "für das Rückgrat der Informationsgesellschaft verantwortlichen" Firmen müssten nicht nur den Schutz personenbezogener Daten gewähren, sondern auch eine Garantie gegen unerlaubte Eingriffe in ihre Infrastrukturen abgeben und so zu einem vollständigen Lagebild beitragen. Dies sei nötig, "um die Widerstandsfähigkeit der Netze insgesamt zu verbessern und damit die Verfügbarkeit zu sichern", heißt es in dem Papier. Bundesinnenminister Hans-Peter Friedrich (CSU) hatte bereits im Sommer angekündigt, die Zugangsanbieter stärker für die IT-Sicherheit in die Pflicht zu nehmen.

Auf der Tagung in den USA zeichnete die Sicherheitsfirma Symantec Rogall-Grothe stellvertretend für die Bundesregierung mit einem "Cyber Award " aus. Die Jury bezog sich dabei vor allem auf die Cyber-Sicherheitsstrategie des Bundes und die damit verknüpfte Einrichtung eines nationalen Cyber-Abwehrzentrums. Die Staatssekretärin unterstrich in ihrer Dankesrede, dass die Regierung mit derlei Initiativen "auf den partnerschaftlichen Schulterschluss des Staates mit Wirtschaft und Bürgern gesetzt" habe. (axk)