Innenministerium macht Ernst mit Meldepflicht nach Cyberangriffen
Das Bundesinnenministerium hat einen Referentenentwurf fĂŒr ein Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" an VerbĂ€nde verschickt. Es soll vor allem den Schutz kritischer Infrastrukturen verbessern helfen.
Das Bundesinnenministerium hat einen Referentenentwurf fĂŒr ein Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" an die anderen Ressorts sowie an BranchenverbĂ€nde verschickt. Laut dem heise online vorliegenden Entwurf mĂŒssten vor allem Betreiber kritischer Infrastrukturen in den Bereichen Energie, Informations- und Kommunikationstechnik oder der Wasserversorgung kĂŒnftig "einen Mindeststandard an IT-Sicherheit einhalten" und dem Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI [1]) "erhebliche" Security-VorfĂ€lle melden.
Das BSI soll die zusammenlaufenden Informationen â wie in einem Eckpunktepapier vom Herbst [2] beschrieben â sammeln, auswerten und die so gewonnenen Erkenntnisse den Meldepflichtigen bereitstellen. Das BSI soll Firmen und Einrichtungen auf deren Ersuchen bei der Sicherung ihrer Systeme beraten und unterstĂŒtzen dĂŒrfen. Anbieter von Telekommunikations- und Telemediendiensten sollen kĂŒnftig ihre Betriebs- und Datenverarbeitungssysteme auch gegen unerlaubte Zugriffe absichern, um die WiderstandsfĂ€higkeit der Kommunikationsinfrastruktur insgesamt zu verbessern und die Daten verfĂŒgbar, integer und authentisch zu halten.
Auch TK-Anbieter sollen zudem ihnen bekannt gewordene Cyberangriffe, die zu einem Datendiebstahl oder zu einer SystembeeintrĂ€chtigung fĂŒhren könnten, "unverzĂŒglich" melden mĂŒssen. Damit will das Innenressort gewĂ€hrleisten, "dass die fĂŒr das RĂŒckgrat der Informationsgesellschaft" verantwortlichen Betreiber zu einem validen und vollstĂ€ndigen Lagebild der IT-Sicherheit beitragen. Das sei nötig fĂŒr "abgestimmte Reaktionen" auf Hackerattacken. Zudem sollen Internetprovider betroffene Nutzer ĂŒber bekannte Störungen durch Schadprogramme auf ihren Systemen informieren und einfach bedienbare Hilfsmittel bereitstellen mĂŒssen, um sie zu erkennen und zu beseitigen.
FĂŒr das BSI sieht der Entwurf eine jĂ€hrliche Berichtspflicht vor, um "das Bewusstsein aller relevanten Akteure fĂŒr das Thema IT-Sicherheit insgesamt" weiter zu schĂ€rfen. Die Nutzer mehr zu sensibilisieren könne hilfreich sein, da viele erfolgreiche IT-Angriffe mit dem Einsatz von "Standardwerkzeugen" verhindert werden können.
"Angesichts der Zunahme der IT-Angriffe gegen Bundeseinrichtungen und bundesweite kritische Infrastrukturen" soll das Bundeskriminalamt (BKA) auĂer fĂŒr Computersabotage auch fĂŒr weitere Straftaten wie das AusspĂ€hen, Abfangen oder VerĂ€ndern von Daten nach dem umstrittenen Hackerparagraphen [3] zustĂ€ndig werden. Diese Handlungen mĂŒssten sich gegen die innere oder Ă€uĂere Sicherheit der Bundesrepublik oder "sicherheitsempfindliche Stellen" lebenswichtiger Institutionen richten. DafĂŒr sollen beim BKA 105 zusĂ€tzliche Stellen mit jĂ€hrlichen Personalkosten in Höhe von rund 6,1 Millionen Euro geschaffen werden. Beim BSI hĂ€lt das Innenministerium dagegen nur 23 neue Stellen fĂŒr nötig.
Die Ănderungen sollen vor allem ĂŒber eine erneute Novelle des BSI-Gesetzes festgeschrieben werden. Gegen die jĂŒngste Reform dieses Gesetzes [4], die der Behörde bereits mehr Mittel zur Abwehr von Angriffen auf die IT-Infrastruktur des Bundes wie etwa zum Auswerten von "Protokolldaten" im Netzverkehr mit öffentlichen Einrichtungen in die Hand gab, ist noch eine Klage [5] vor dem EuropĂ€ischen Gerichtshof fĂŒr Menschenrechte anhĂ€ngig. Ferner sollen das BKA-, das Telemedien- und das Telekommunikationsgesetz ĂŒberarbeitet werden.
Welche Einrichtungen unter den Begriff "Betreiber kritischer Infrastrukturen" fÀllt, könnte das Innenministerium durch Rechtsverordnungen zusammen mit anderen Ressort festlegen. Als Kriterien kommen in Betracht der Versorgungsgrad, die Auswirkungen eines Ausfalls auf die Bevölkerung oder andere vernetzte Bereiche, zeitliche Aspekte, Marktbeherrschung oder die Auswirkung auf den Wirtschaftsstandort.
Zu den genauen dadurch fĂŒr die Wirtschaft anfallenden Kosten hĂ€lt der Entwurf fĂŒr ein IT-Sicherheitsgesetz noch keine Zahlen parat. Es wird aber davon ausgegangen, dass auf Anbieter, die bereits heute aufgrund staatlicher Vorgaben oder freiwillig ein Mindestniveau an IT-Security einhalten, keine gesonderten Belastungen zukommen. Betreiber kritischer Infrastrukturen mĂŒssten tiefer in die Tasche greifen, um die Sicherheitsaudits durchzufĂŒhren. Eine Meldepflicht fĂŒr Cyberangriffe ist auch auf EU-Ebene im GesprĂ€ch [6]. Der Referentenentwurf soll nun zunĂ€chst vom Bundeskabinett beschlossen und anschlieĂend dem Bundestag zugeleitet werden. Viel Zeit fĂŒr seine parlamentarische Behandlung bleibt vor Ende der Legislaturperiode im Herbst nicht mehr. (anw [7])
URL dieses Artikels:
https://www.heise.de/-1818361
Links in diesem Artikel:
[1] http://www.bsi.bund.de/
[2] https://www.heise.de/news/Innenministerium-plant-IT-Sicherheitsgesetz-1746002.html
[3] https://www.heise.de/news/Verfassungsbeschwerden-gegen-Hackerparagraphen-unzulaessig-183757.html
[4] https://www.heise.de/news/Bundestag-beschliesst-neues-BSI-Gesetz-183747.html
[5] https://www.heise.de/news/Gerichtshof-fuer-Menschenrechte-soll-BSI-Gesetz-pruefen-1420491.html
[6] https://www.heise.de/news/EU-Kommission-legt-Cybersicherheitsplan-vor-1799814.html
[7] mailto:anw@heise.de
Copyright © 2013 Heise Medien