Bundestag verabschiedet IT-Sicherheitsgesetz

Der Bundestag hat ein Gesetz für mehr IT-Sicherheit beschlossen. Ziel sei es, der wachsenden Bedrohung vor Cyberattacken entgegenzuwirken. Für die Unternehmen heißt das teilweise Meldepflicht und die Schaffung strengerer Sicherheitsstandards.

Angesichts der wachsenden Bedrohung durch Cyberattacken hat der Bundestag am Freitag ein Gesetz für mehr IT-Sicherheit beschlossen. Wichtige Wirtschaftsbereiche sollen so vor Hackern geschützt und Gefahren für die Bevölkerung abgewehrt werden. Angesichts des Hackerangriffs auf das Netzwerk des Bundestags vor ein paar Wochen gewinnt das neue Gesetz an ungewöhnlicher Aktualität.

Im Kern geht es in dem Gesetz um sogenannte kritische Infrastrukturen, bei denen ein Ausfall oder eine Beeinträchtigung schwerwiegende Folgen für das Gemeinwesen hätte, etwa in Form von Versorgungsausfällen. Diese Unternehmen müssen Cyberattacken künftig an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dies geschieht anonym, sofern der Vorfall noch nicht zu einer gefährlichen Beeinträchtigung geführt hat. Das BSI wertet die Informationen aus und erstellt ein Lagebild – auch, um andere Unternehmen derselben Branche zu warnen.

Zu den kritischen Infrastrukturen rechnet das Gesetz Unternehmen im Energie- und Gesundheitsbereich, bei Wasserversorgung, Transport und Verkehr, Telekommunikation sowie im Finanz- und Versicherungswesen. Konkreter wird das Gesetz nicht. Die genaue Definition soll erst in einer Rechtsverordnung geklärt werden, an der nach Angaben des Ministeriums gearbeitet wird. Die Wirtschaft hatte sich allerdings schneller Klarheit gewünscht. Die Bundesregierung geht im Gesetzentwurf von maximal 2000 betroffenen Firmen aus. Eine Studie der Industrie hatte jedoch 20.000 Unternehmen genannt, die unter die Meldepflichten fallen könnten.

Die Unternehmen müssen auch Mindeststandards bei der IT-Sicherheit erfüllen, die dem Stand der Technik entsprechen und die Funktionsfähigkeit ihrer Infrastruktur sicherstellen. Dies soll von den Aufsichtsbehörden überprüft werden. Für die Umsetzung erhalten die Firmen zwei Jahre Zeit. Kommen sie ihren Verpflichtungen nicht nach, drohen Bußgelder von bis zu 100.000 Euro.

Die neuen Regeln verpflichten darüber hinaus die Telekommunikationsanbieter, ihre Kunden zu warnen, wenn sie den Missbrauch einer Webseite oder einen Angriff auf einen Computer feststellen. Sie müssen zudem nicht nur personenbezogene Daten schützen, sondern auch die Verfügbarkeit der Telekommunikations- und Datenverarbeitungssysteme gewährleisten. Selbst kleine Unternehmen wie Pizzerien, die einen Lieferservice anbieten, müssen ihre Internetseiten nach dem Stand der Technik betreiben. Damit soll verhindert werden, dass sich Kunden etwa beim Surfen auf der Homepage mit Trojanern oder Viren infizieren. Schlimmstenfalls muss der Anbieter Schadenersatz leisten. Das BSI kann künftig per Anordnung die Hersteller von Hard- und Software verpflichten, bei der Beseitigung und Vermeidung von Störungen mitzuwirken. Das Bundesamt erarbeitet auch Mindeststandards für die Informationstechnik des Bundes.

Die Wirtschaft sorgt sich nicht zuletzt um die Kosten für die geforderten Vorkehrungen, die laut einer Studie 1,1 Milliarden Euro betragen könnten. Laut Regierung führen die Neuregelungen dort zu Mehrkosten, wo bislang die IT-Sicherheit nicht im notwendigen Maß gewährleistet ist. Der Aufwand könne nicht beziffert werden. Die Wirtschaft sorgt sich zudem, ob die Anonymität der Angaben wirklich gewährleistet ist. Würden die Meldungen über Cyberattacken öffentlich, könnte dies das Kaufverhalten von Kunden oder gar Entscheidungen von Aktionären beeinflussen.

 

Kommentare

Schreiben Sie den ersten Kommentar zum Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.