Innenministerium macht Ernst mit Meldepflicht nach Cyberangriffen
Das Bundesinnenministerium hat einen Referentenentwurf für ein Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" an Verbände verschickt. Es soll vor allem den Schutz kritischer Infrastrukturen verbessern helfen.
Das Bundesinnenministerium hat einen Referentenentwurf für ein Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" an die anderen Ressorts sowie an Branchenverbände verschickt. Laut dem heise online vorliegenden Entwurf müssten vor allem Betreiber kritischer Infrastrukturen in den Bereichen Energie, Informations- und Kommunikationstechnik oder der Wasserversorgung künftig "einen Mindeststandard an IT-Sicherheit einhalten" und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) "erhebliche" Security-Vorfälle melden.
Das BSI soll die zusammenlaufenden Informationen – wie in einem Eckpunktepapier vom Herbst beschrieben – sammeln, auswerten und die so gewonnenen Erkenntnisse den Meldepflichtigen bereitstellen. Das BSI soll Firmen und Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Systeme beraten und unterstützen dürfen. Anbieter von Telekommunikations- und Telemediendiensten sollen künftig ihre Betriebs- und Datenverarbeitungssysteme auch gegen unerlaubte Zugriffe absichern, um die Widerstandsfähigkeit der Kommunikationsinfrastruktur insgesamt zu verbessern und die Daten verfügbar, integer und authentisch zu halten.
Auch TK-Anbieter sollen zudem ihnen bekannt gewordene Cyberangriffe, die zu einem Datendiebstahl oder zu einer Systembeeinträchtigung führen könnten, "unverzüglich" melden müssen. Damit will das Innenressort gewährleisten, "dass die für das Rückgrat der Informationsgesellschaft" verantwortlichen Betreiber zu einem validen und vollständigen Lagebild der IT-Sicherheit beitragen. Das sei nötig für "abgestimmte Reaktionen" auf Hackerattacken. Zudem sollen Internetprovider betroffene Nutzer über bekannte Störungen durch Schadprogramme auf ihren Systemen informieren und einfach bedienbare Hilfsmittel bereitstellen müssen, um sie zu erkennen und zu beseitigen.
Für das BSI sieht der Entwurf eine jährliche Berichtspflicht vor, um "das Bewusstsein aller relevanten Akteure für das Thema IT-Sicherheit insgesamt" weiter zu schärfen. Die Nutzer mehr zu sensibilisieren könne hilfreich sein, da viele erfolgreiche IT-Angriffe mit dem Einsatz von "Standardwerkzeugen" verhindert werden können.
"Angesichts der Zunahme der IT-Angriffe gegen Bundeseinrichtungen und bundesweite kritische Infrastrukturen" soll das Bundeskriminalamt (BKA) außer für Computersabotage auch für weitere Straftaten wie das Ausspähen, Abfangen oder Verändern von Daten nach dem umstrittenen Hackerparagraphen zuständig werden. Diese Handlungen müssten sich gegen die innere oder äußere Sicherheit der Bundesrepublik oder "sicherheitsempfindliche Stellen" lebenswichtiger Institutionen richten. Dafür sollen beim BKA 105 zusätzliche Stellen mit jährlichen Personalkosten in Höhe von rund 6,1 Millionen Euro geschaffen werden. Beim BSI hält das Innenministerium dagegen nur 23 neue Stellen für nötig.
Die Änderungen sollen vor allem über eine erneute Novelle des BSI-Gesetzes festgeschrieben werden. Gegen die jüngste Reform dieses Gesetzes, die der Behörde bereits mehr Mittel zur Abwehr von Angriffen auf die IT-Infrastruktur des Bundes wie etwa zum Auswerten von "Protokolldaten" im Netzverkehr mit öffentlichen Einrichtungen in die Hand gab, ist noch eine Klage vor dem Europäischen Gerichtshof für Menschenrechte anhängig. Ferner sollen das BKA-, das Telemedien- und das Telekommunikationsgesetz überarbeitet werden.
Welche Einrichtungen unter den Begriff "Betreiber kritischer Infrastrukturen" fällt, könnte das Innenministerium durch Rechtsverordnungen zusammen mit anderen Ressort festlegen. Als Kriterien kommen in Betracht der Versorgungsgrad, die Auswirkungen eines Ausfalls auf die Bevölkerung oder andere vernetzte Bereiche, zeitliche Aspekte, Marktbeherrschung oder die Auswirkung auf den Wirtschaftsstandort.
Zu den genauen dadurch für die Wirtschaft anfallenden Kosten hält der Entwurf für ein IT-Sicherheitsgesetz noch keine Zahlen parat. Es wird aber davon ausgegangen, dass auf Anbieter, die bereits heute aufgrund staatlicher Vorgaben oder freiwillig ein Mindestniveau an IT-Security einhalten, keine gesonderten Belastungen zukommen. Betreiber kritischer Infrastrukturen müssten tiefer in die Tasche greifen, um die Sicherheitsaudits durchzuführen. Eine Meldepflicht für Cyberangriffe ist auch auf EU-Ebene im Gespräch. Der Referentenentwurf soll nun zunächst vom Bundeskabinett beschlossen und anschließend dem Bundestag zugeleitet werden. Viel Zeit für seine parlamentarische Behandlung bleibt vor Ende der Legislaturperiode im Herbst nicht mehr. (anw)