Nach sechsmonatiger parlamentarischer Beratung ist das umstrittene Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme (IT-Sicherheitsgesetz) im Juli in Kraft getreten. Betreiber von „kritischen Infrastrukturen“ müssen nun Sicherheitsvorfälle offiziell melden.
Am 25. Juli ist das sogenannte IT-Sicherheitsgesetz in Kraft getreten. Danach müssen Betreiber sogenannter „kritischer Infrastrukturen“, wie Krankenhäuser, Energieunternehmen, Banken oder andere Einrichtungen, „die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind“ Sicherheitsvorfälle, etwa Hackerangriffe, bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Betroffen sind die Sektoren Gesundheit, Wasserversorgung, Energie, Telekommunikation und Energie, sowie das Finanz- und Versicherungswesen. Knapp 2.000 Unternehmen sind von nun an verpflichtet, Cyberangriffe anonym zu melden. Bei Verstößen drohen Bußgelder in Höhe von bis zu 100.000 Euro. Aus den übermittelten Daten will das BSI ein Lagebild erstellen. Andere Unternehmen sollen bei Bedarf gewarnt werden.
Abgesehen von den neuen Verpflichtungen für Unternehmen erweitert das IT-Sicherheitsgesetzt zudem die Kompetenzen für das BSI und die Bundesnetzagentur und vergrößert die Ermittlungszuständigkeit im Bereich der Computerkriminalität für das Bundeskriminalamt.
Das IT-Sicherheitsgesetz ist nicht ausreichend gestaltet
Während Bundesminister Thomas de Maizière (CDU) von einem „guten Tag für mehr Sicherheit und Vertrauen im Internet“ spricht, sieht Bundestagsvizepräsidentin und Vorsitzende der IT-Kommission des Bundestags Petra Pau (Die Linke) keine Vorteile für Unternehmen: „Übrig bleiben zwei Gewinner: der BND und der Verfassungsschutz.“ Aus Sicht der Linke-Abgeordneten bleibt vieles, was geregelt werden sollte, nach wie vor außen vor. De Maizière aber ist sich sicher: „Mit dem heute vom Deutschen Bundestag verabschiedeten IT-Sicherheitsgesetz kommen wir bei der Stärkung unserer IT-Systeme einen wichtigen Schritt voran.“
Für Dieter Janecek (Bündnis 90/Die Grünen) ist „Deutschland in Sachen IT-Sicherheit ein Entwicklungsland“. Die Änderungen des Regierungsentwurfs des IT-Sicherheitsgesetz kämen zu spät und seien nicht ausreichend, sagt er. Weiterhin fehle der Schutz der Bürger vor Ausspähungen und Aufklärung für kleine und mittelständische Unternehmen. Janecek findet es „ganz schön peinlich“, ein IT-Sicherheitsgesetz zu verabschieden, dass bei anderen für IT-Sicherheit sorgen soll, „es selber aber nicht hinzubekommen“ und spielt damit auf den Hackerangriff auf den Bundestag an, der im Mai bekannt wurde.
„Dass im öffentlichen Sektor höhere Sicherheitsstandards bei der IT-Sicherheit notwendig sind, zeigt aktuell der Hackerangriff auf den Bundestag“, so der Digitalverband Bitkom. Er wertet positiv, dass künftig auch die Bundesverwaltung unter dem Geltungsbereich des Gesetzes fällt, denn Einrichtungen der Regierung und der Verwaltung gehören per Definition zu den kritischen Infrastrukturen. Allerdings sieht der Bitkom die Strafen im IT-Sicherheitsgesetz kritisch. „Die Androhung von Strafen macht keinen Sinn, wenn nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen“, sagte Bitkom-Sicherheitsexperte Marc Bachmann. Mit der Androhung von Strafen gebe die Bundesregierung zudem ihre kooperative Haltung auf und setze Unternehmen unnötig unter Druck. Der Branchenverband schätzt zu dem die zusätzlichen Kosten für die deutsche Wirtschaft allein durch die Meldepflicht auf 1,1 Milliarden Euro pro Jahr.
Weiterführende Links: Formular zum Melden von Cyber-Angriffen