Bundesregierung

Gesetz soll Schutz vor Cyberangriffen verbessern

Die Zahl der Angriffe über das Internet steigt. Auch wichtige Unternehmen können zum Ziel werden. Die Bundesregierung will diese Firmen nun verpflichten, mehr für ihre IT-Sicherheit zu tun.
Von Marleen Frontzeck-Hornke mit Material von dpa

Bundesregierung will Schutz vor Cyberangriffen verbessern Bundesregierung will Schutz vor Cyberangriffen verbessern
Bild: dpa Die Bundesregierung will dafür sorgen, dass Krankenhäuser, Banken und Energieversorger ihre Computersysteme besser gegen Angriffe schützen. Dafür sollen die Unternehmen Mindeststandards für die Sicherheit ihrer IT-Systeme festlegen. Das Kabinett billigte heute einen Entwurf des Bundesinnenministeriums für ein solches IT-Sicherheitsgesetz.

Damit will die Bundesregierung der wachsenden Gefahr durch digitale Angriffe auf wichtige Wirtschaftszweige begegnen. "Das Internet hat sich längst zu einer kritischen Infrastruktur entwickelt", sagte Bundesinnenminister Thomas de Maizière (CDU). "Das bedeutet, wenn es dort zu größeren Ausfällen kommt, wird es kritisch für unser Land."

In Deutschland habe es noch keine derartigen Angriffe gegeben, sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Michael Hange. Doch aus anderen Ländern wisse man von solchen Fällen. Unternehmen aus wichtigen Wirtschaftszweigen können auch gemeinsame Standards entwickeln, die das BSI noch genehmigen muss.

Zugleich sollen diese Firmen künftig Störungen und Hackerangriffe melden. Zu den zentralen Unternehmen zählen Banken oder Wasserwerke - sie gelten als "kritische Infrastrukturen", deren Ausfall schwerwiegende Folgen hätte. Diese Regelung würde nach Schätzungen der Regierung 2 000 Unternehmen betreffen, die Vorfälle künftig melden sollen. So will sich die Bundesregierung einen besseren Überblick über aktuelle Gefahren verschaffen.

Kritik und Vorbehalte aus der Wirtschaft

Bundesregierung will Schutz vor Cyberangriffen verbessern Bundesregierung will Schutz vor Cyberangriffen verbessern
Bild: dpa Die Wirtschaft hat jedoch Vorbehalte. Der Verband kommunaler Unternehmen warnte etwa, die Meldepflicht dürfe nicht zu einem "Mehr an Bürokratie" führen. Andere Unternehmen fürchten um ihren Ruf, wenn Schwachstellen oder Angriffe bekanntwerden. Daher soll eine Meldung auch möglich sein, ohne den Namen der Firma preiszugeben.

Außerdem sollen Unternehmen, die einen Online-Shop oder andere Internet-Dienste betreiben, verpflichtet werden, ihre Angebote nach dem Stand der Technik zu sichern. So soll verhindert werden, dass Nutzer sich beim Surfen Computerviren oder Trojaner einfangen. De Maizière sagte, damit würden Regeln aus der traditionellen Wirtschaft auf das Internet übertragen. "Wir verlangen von einem Supermarkt auch, dass er, wenn es friert, vor seiner Haustür streut", sagte der Minister heute. "Im Grunde holen wir nur Standards nach, die es sonst im Wirtschaftsleben längst gibt."

In einem Streitpunkt wurde der Gesetzentwurf geändert: Eine frühere Fassung hatte neue Vorgaben zur Speicherung von Surfdaten vorgesehen. Aktivisten kritisierten das scharf. Sie fürchteten eine neue Vorratsdatenspeicherung. Dieser Passus ist aus der jetzigen Fassung gestrichen worden. Netzaktivisten reagierten erfreut, die Gewerkschaft der Polizei zeigte sich dagegen ernüchtert.

Bitkom begrüßt Gesetz, weist aber auf Unsicherheiten hin

Der IT-Branchenverband Bitkom begrüßt zum größten Teil die neuen Regelungen zur IT-Sicherheit in einer Stellungnahme [Link entfernt] . So würde unter anderem ein höheres Sicherheitsniveau für die Betreiber kritischer Infrastrukturen gelten. Laut dem Bitkom-Präsident, Prof. Dieter Kempf, verpflichte das Gesetz "die Betreiber kritischer Infrastrukturen, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand der Technik zu halten. Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden."

Allerdings gebe es dem Bitkom zufolge noch zahlreiche Unsicherheiten bei der Umsetzung des Gesetzes, Kempf sagt: "Noch ist unklar, für welche Unternehmen das Gesetz tatsächlich gilt. Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit." Als positiv wird das Vorhaben bewertet, die Wirtschaft bei der Formulierung der jeweiligen Sicherheitsstandards einzubinden. Dadurch lasse sich laut Kempf "das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen, die von der Energieversorgung über IT- und Telekommunikationsdienstleister bis zur Ernährungswirtschaft reichen".

Außerdem warnt der Branchenverband eco in Bezug auf das IT-Sicherheitsgesetz vor einem drohenden Flickenteppich nationaler Sicherheitsregeln in Europa. Der eco-Vorstand Politik & Recht Oliver Süme sagt: "Wir sehen den heute beschlossenen Gesetzesentwurf nach wie vor kritisch, erkennen aber an, dass einige unserer wesentlichen Kritikpunkte offenbar Gehör gefunden [haben] und entsprechend berücksichtigt wurden. Die Bundesregierung ist hier in der Pflicht Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales 'Vorpreschen' ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt."

Mehr zum Thema Bundesregierung