Bundesregierung beschließt Entwurf für IT-Sicherheitsgesetz
Das Bundeskabinett hat den Gesetzentwurf zur "Erhöhung der Sicherheit informationstechnischer Systeme" verabschiedet. Die zunächst offen gelassene Hintertür zur Vorratsdatenspeicherung ist geschlossen.
Die Bundesregierung will den Schutz kritischer Infrastrukturen wie Energie- oder Telekommunikationsnetze sowie von IT-Systemen erhöhen. Sie hat dazu am Mittwoch einen Entwurf für ein IT-Sicherheitsgesetz verabschiedet. Im Kern geht es dabei darum, dass IT-Sicherheitsvorfälle gemeldet und "IT-Mindeststandards" von der Wirtschaft und insbesondere von Betreibern kritischer Infrastrukturen eingehalten werden müssen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur internationalen Zentralstelle für IT-Sicherheit ausgebaut, das Bundeskriminalamt bundesweit für Cyberdelikte zuständig werden. Denial-of-Service-Attacken oder andere Cyberangriffe müssen Betroffene in Zukunft bekannt geben. Für die geplanten Mindestanforderungen zum Schutz wird in dem Entwurf nur ein Rahmen vorgegeben, die Details sollen von den betroffenen Verbänden zusammen mit dem BSI festgelegt werden.
Besonders umkämpft waren vorab Passagen im ursprünglichen Referentenentwurf von Bundesinnenminister Thomas de Maizière (CDU), in denen Bürgerrechtler und Datenschützer eine Möglichkeit zur "verdachtslosen Aufzeichnung des Surfverhaltens" sahen, bei der sogar Inhalte ein halbes Jahr archiviert und ausgewertet werden könnten. Dies gehe noch über die früheren Bestimmungen zum Aufbewahren von Verbindungs- und Standortdaten hinaus, die das Bundesverfassungsgericht 2010 gekippt hatte. Nach Gesprächen mit Bundesjustizminister Heiko Maas (SPD) strich das Innenministerium die Klauseln.
Beschlossen hat das Kabinett im Regierungsentwurf zudem eine Ergänzung des Telekommunikationsgesetzes mit einer Informationspflicht für TK-Betreiber gegenüber Nutzern über Störungen, die von deren Systemen insbesondere durch Bot-Netzen ausgehen. Diese soll aber nur noch greifen, wenn der Anbieter den Anwender bereits kennt. Auf die Einschränkung hatte das Justizministerium Wert gelegt, da der Provider Verbindungs- und Standortdaten umfangreich hätte erheben müssen, um einen Betroffenen zu ermitteln. (anw)