Härter gegen Cyberkriminalität
19. August 2014Die Bundesregierung will kritische Infrastrukturen wie Energie- und Telekommunikationsnetze besser vor Cyberangriffen schützen - und geht bei diesen Plänen auf die Wirtschaft zu. Innenminister Thomas de Maizière (CDU) will die betroffenen Betreiber verpflichten, Angriffe auf ihre IT-Systeme zu melden. Das steht im Entwurf für das IT-Sicherheitsgesetz, der an diesem Dienstag vorgestellt lwurde.
Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische Folgen haben würde. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger. Bereits in der vergangenen Legislaturperiode hatte die damalige Bundesregierung einen Gesetzentwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren - nicht zuletzt wegen Widerständen aus der Wirtschaft.
Nachweis alle zwei Jahre
Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit zu offenbaren, wenn sie Opfer von Cyberattacken werden. Firmen hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht. Die will ihnen die Regierung nun in den meisten Fällen zugestehen - nämlich dann, wenn eine Firma einen Cyberangriff bemerkt, dadurch aber keine größeren Störungen entstehen. In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Firmen dann alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.
Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Zuständigkeit des Bundeskriminalamts (BKA) soll ausgeweitet werden auf bestimmte Cyberdelikte, für die bislang noch die Länder verantwortlich sind. Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen: Das BKA soll 108 Stellen extra bekommen. Die Kosten dafür werden auf 7,3 Millionen Euro jährlich beziffert. Hinzu kommen etwa 680.000 Euro im Jahr an Sachmitteln. Beim BSI sind 133 zusätzliche Stellen vorgesehen. Das soll 8,8 Millionen Euro jährlich kosten. Außerdem sind noch einmal fünf Millionen Euro im Jahr für Ausstattung beim BSI eingeplant.
Auch beim Bundesamt für Verfassungsschutz, das die Wirtschaft bei der Abwehr von Spionage und Cyberattacken unterstützt, wird das Personal aufgestockt (55 zusätzliche Stellen), beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ebenso - wenn auch in deutlich kleinerem Umfang (neun Stellen extra).
Mehr Schutz auch für Bürger im Netz
Für den unmittelbaren Schutz von Bürgern sind ebenfalls Verschärfungen geplant. Internet-Provider etwa sollen verpflichtet werden, ihre Nutzer im Fall einer Systemstörung zu informieren. Zudem müssten die Provider "die Anwendung eines sicheren und dem Schutzbedarf angemessenen Authentifizierungsverfahrens" anbieten, heißt es in de Maizières Gesetzentwurf. Als Reaktion auf die Ausspähaffäre um den US-Geheimdienst NSA würden die Unternehmen zudem verpflichtet, künftig ihre Daten nur innerhalb der Europäischen Union zu speichern.
Als generelles Ziel der Gesetzesinitiative wird formuliert: "Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden."
sti/se (afp, dpa)