https://www.faz.net/-gqe-7sx10

Cyber-Attacken : Wirtschaft überwiegend zufrieden mit IT-Sicherheitsgesetz

  • -Aktualisiert am

Netzwerkkabel sind ein Einfallstor für ungebetene Angreifer. Bild: dpa

Der Entwurf für das „IT-Sicherheitsgesetz“ liegt vor. Die Wirtschaft begrüßt Teile des Entwurfs, sieht aber Verbesserungsbedarf.

          Zahlreiche Unternehmen müssen künftig den Behörden Hackerangriffe und andere Zwischenfälle im Internet melden. Das sieht ein überarbeiteter Gesetzentwurf vor, den Bundesinnenminister Thomas de Maizière (CDU) am Dienstag seinen Kabinettskollegen zugeleitet hat. In die Pflicht genommen werden neben Telefon- und Internetanbietern die Betreiber „kritischer Infrastrukturen“. Die Liste der betroffenen Branchen ist lang: Sie umfasst Energieversorger (Elektrizität, Gas und Mineralöl), Informationstechnik, Transport und Verkehr, die medizinische Versorgung, die öffentliche Wasserversorgung, die Landwirtschaft sowie den Finanzsektor (Banken, Finanzdienstleister, Börsen und Versicherer).

          Die Meldepflicht war schon im Vorfeld heftig umstritten: Die Internetwirtschaft fürchtet hohe Kosten und bürokratischen Aufwand – aber auch eine geschäftsschädigende Blamage für angegriffene Unternehmen, falls ihre Nachricht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Öffentlichkeit durchsickert. Dies ist keineswegs ausgeschlossen, im Gegenteil: Die Behörde soll in gravierenden Fällen andere potentielle Opfer warnen.

          Ressortchef de Maizière weist jedoch darauf hin, dass der Staat die Wirtschaft nicht schützen könne, wenn er von konkreten Attacken nichts erfahre. Das geplante „IT-Sicherheitsgesetz“ enthält nun den Kompromiss, dass Datendiebstähle und Computersabotage, Internetspionage und andere Fälle von Cyber-Kriminalität – von Ausnahmen abgesehen – anonym angezeigt werden dürfen. Dies gilt auch für ernste technische Pannen, etwa den Ausfall der Kühlung in einem Rechenzentrum oder Mängel beim Update von Software.

          Meldepflicht bei Cyber-Angriffen

          Die Firmen müssen für das BSI jederzeit erreichbar sein. So sollen sie etwa vor aktuellen Angriffen gewarnt werden. Der Gesetzentwurf sieht zudem vor, die Computertechnik der Bundesverwaltung besser zu schützen. Die Politik will die Betreiber von Infrastruktur in all den aufgelisteten Sektoren ferner dazu zwingen, ihre Sicherheitsvorkehrungen stets auf dem neuesten Stand zu halten. Die Unternehmen müssen alle zwei Jahre von zertifizierten Experten eine Sicherheitsüberprüfung vornehmen lassen und dies dem Bundesamt nachweisen. Ausgenommen davon sind Kleinstbetriebe mit weniger als zehn Beschäftigten und einem Jahresumsatz von unter 2 Millionen Euro. Die verschiedenen Branchen werden aufgefordert, eigene Mindeststandards festzulegen.

          Weitere Pflichten werden den Telekommunikationsanbietern auferlegt. So müssen sie ihre Kunden bei Cyber-Angriffen verständigen und ihnen erklären, wie sie sich selbst helfen können, wenn etwa ihr Computer mit Viren verseucht wurde. Auch müssen sie den Bürgern sichere Verfahren zur Authentifizierung anbieten. Ausgebaut wird zudem die Befugnis des BSI, Lagebilder zu erstellen und – soweit der Quellenschutz es zulässt – gefährdete Unternehmen zu verständigen.

          Das Bundeskriminalamt erhält durch den Gesetzentwurf neue Zuständigkeiten: Während die Wiesbadener Fahnder bislang nur Fälle von Computersabotage verfolgen dürfen, können sie künftig auch bei zahlreichen weiteren Straftaten rund um das Ausspähen von Daten ermitteln, wenn sicherheitsempfindliche Einrichtungen betroffen sind. Weitere Änderungen: Die Bundesnetzagentur kann unzuverlässigen Anbietern den Betrieb einer Telekommunikationsanlage untersagen. Und der Einstieg ausländischer Investoren in Unternehmen, die Überwachungsanlagen für Telekommunikation herstellen, fällt in Zukunft unter die Kontrolle nach dem Außenwirtschaftsgesetz.

          De Maizière betonte, die neuen Regeln beträfen „nicht jedermann“, sondern es gehe ausschließlich um „wichtige Bereiche“. Wer durch den Einsatz von IT-Technik Risiken für andere schaffe, habe auch die Verantwortung für den Schutz vor diesen Risiken. Cyber-Angriffe auf eine Firma der fraglichen Branchen könnten das Funktionieren der gesamten Wirtschaft gefährden.

          Vertreter von Wirtschaftsverbänden zeigten sich überwiegend zufrieden mit der Neufassung des Gesetzentwurfs. Eine deutliche Verbesserung gegenüber einem Entwurf aus dem Vorjahr sei insbesondere die Möglichkeit, einen Großteil der geforderten Meldungen zu anonymisieren, urteilte der Bundesverband der Deutschen Industrie (BDI). Noch effizienter wäre aus seiner Sicht allerdings ein Modell, bei dem ein unabhängiger Treuhänder die Hinweise aus den Unternehmen durch Pseudonyme schütze.

          „Damit könnte die Rechtssicherheit für die Unternehmen weiter erhöht und der Meldeprozess zwischen Wirtschaft und Amtsseite beschleunigt werden“, erklärte der Verband. „Gut und richtig“ seien auch die vorgesehenen Mindeststandards, da sie den Besonderheiten der jeweiligen Branchen Rechnung tragen. „Der Staat ist der größte Betreiber kritischer Infrastrukturen“, mahnte der BDI: „Die Meldepflichten und Sicherheitsstandards sollten deshalb auch für staatliche Stellen gelten.“

          Die Interessenverbände der IT-Branche begrüßten den Gesetzentwurf ebenfalls im Grundsatz. „Ausdrücklich positiv bewerten wir, dass die Wirtschaft in die konkrete Ausgestaltung des Gesetzes einbezogen werden soll“, sagte Bitkom-Präsident Dieter Kempf. Noch sei aber unklar, wer von dem Gesetz tatsächlich betroffen ist. „Hierzu benötigen die Unternehmen baldige Planungssicherheit.“ Der Verband der Internetwirtschaft Eco äußerte sich ebenfalls im Kern zufrieden mit dem Entwurf. Er befürworte den Plan von Innenminister de Maizière, Deutschland zum führenden Standort im Bereich IT-Sicherheit auszubauen, sagte Eco-Vorstandsmitglied Oliver Süme. „Ein IT-Sicherheitsgesetz als nationalen Alleingang – so wie es jetzt als Referentenentwurf konkretisiert vorliegt – lehnen wir allerdings ab.“

          Weitere Themen

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.