IT-Sicherheitsgesetz tritt in Kraft

24.07.2015 12:33 Uhr Stefan Krempl

Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" bringt zunächst verschärfte Anforderungen für Serveradmins und Meldepflichten für Provider sowie Kernkraftwerksbetreiber mit sich.

Am heutigen Freitag ist das IT-Sicherheitsgesetz [1] nach rund sechsmonatiger parlamentarischer Beratung im Bundesgesetzblatt veröffentlicht worden [2]. Es tritt so am Samstag in Kraft. Damit gelten für Betreiber von Webservern zum Beispiel für Online-Shops unmittelbar erhöhte Anforderungen zum Schutz von Kundendaten und der eigenen IT-Systeme je nach Stand der Technik. Telekommunikationsfirmen müssen ihre Kunden warnen, wenn ihnen auffällt, dass ihr Anschluss etwa für Angriffe über ein Botnetz missbraucht wird. Die Betroffenen müssen sie auf Möglichkeiten hinweisen, um die Probleme zu beheben.

"Freiwillige Vorratsdatenspeicherung"

Provider dürfen zudem Verbindungsdaten speichern, um Störungen abzuwehren. Dies führt derzeit zu einer "freiwilligen Vorratsdatenspeicherung [3]" zwischen drei Tagen und sechs Monaten, die Bürgerrechtler seit Langem scharf kritisieren. Diese Befugnis hat der Bundestag trotzdem auf Fälle ausgedehnt, in denen Probleme mit Cyberattacken oder Spam nur am Horizont auftauchen können. Dem Bundesrat war diese Bestimmung zunächst ein Dorn im Auge, er ließ sie aber Anfang Juli trotzdem passieren [4].

Betreiber von Kernkraftwerken und Telekommunikationsanbieter müssen ab Samstag erhebliche IT-Sicherheitsvorfälle melden. Für sonstige Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt dies erst, wenn eine zusätzliche Rechtsverordnung in Kraft tritt, in der Einzelheiten geregelt werden. Das Bundesinnenministerium bereitet dazu nach eigenen Angaben derzeit einen Entwurf vor. Parallel sollen gemeinsam mit der Wirtschaft Mindeststandards zur IT-Sicherheit erarbeitet werden.

Zentralstelle für IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur internationalen Zentralstelle für IT-Sicherheit ausgebaut werden. Es soll die Meldungen der Betreiber kritischer Infrastrukturen auswerten und darauf basierend Verbesserungsvorschläge machen. Auch die internen IT-Stellen von Bundesbehörden müssen Protokoll- und Schnittstellendaten an das BSI übermitteln. Das Amt soll auch anordnen können, dass Produkt- und Systemhersteller "in zumutbarem Umfang" etwa mit Sicherheitsupdates dabei helfen, Lücken abzudichten oder Störungen zu beseitigen. (anw [5])

URL dieses Artikels:
https://www.heise.de/-2762518

Links in diesem Artikel:
[1] https://www.heise.de/news/Bundestag-verabschiedet-IT-Sicherheitsgesetz-2689526.html
[2] http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl#__b gbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1437730273347
[3] https://www.heise.de/news/AK-Vorrat-wirft-Telecom-Unternehmen-verfassungswidrige-Vorratsdatenspeicherung-vor-1338178.html
[4] https://www.heise.de/news/Bundesrat-laesst-IT-Sicherheitsgesetz-passieren-2747914.html
[5] mailto:anw@heise.de