Menü
Ein Beitrag von Adacor

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Heute hat das Bundeskabinett das neue IT-Sicherheitsgesetz verabschiedet. Es soll als zentraler Baustein der sogenannten „Digitalen Agenda“ dienen.

Achtung CybercrimeDa es sich um ein Artikelgesetz handelt, geht es mit der Änderung verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetztes (TKG) und des Telemediengesetztes (TMG). Mithilfe des neuen Gesetzes will die Bundesregierung Bürger zukünftig besser vor Hacker-Angriffen schützen. Aktuell befindet sich der Gesetzesentwurf in der Abstimmung zwischen den Ressorts.

Wir fassen die wichtigsten Änderungen und Konsequenzen kurz zusammen.

Die Gefahr, von Hackern angegriffen zu werden, ist – so die Bundesregierung – besonders groß für Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser. Hier können Angriffe drastische Auswirkungen auf das öffentliche Leben haben. Erstmals soll es deshalb bald verbindliche Mindeststandards für die IT-Sicherheit der sensiblen Wirtschaftszweige geben. Dabei zielt das neue Gesetz vor allem auf die signifikante Verbesserung der IT-Sicherheit für die zugrundeliegenden Kommunikationsinfrastrukturen ab.

Weitere Änderungen

IT Sicherheitsgesetz Kritik

Im Entwurf waren auch Änderungen des Telemedien- und des Telekommunikationsgesetzes vorgesehen, die zunächst kaum Beachtung fanden. Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen.

Geltungsbereich und Auswirkungen für Unternehmen

Das Gesetz gilt im Wesentlichen nur für Unternehmen die bestimmte Telemediendienste, Telekommunikationsdienste und sogenannte kritische Infrastrukturen (z. B. Kraftwerke, Banken, Krankenhäuser etc.) betreiben. Also nur einen sehr eingeschränkten Kreis an Unternehmen. Diese müssen aber mit deutlich mehr Aufwand hinsichtlich der IT-Sicherheit rechnen als bisher, und zwar durch:

  • Die Vorgabe eines Mindeststandards an die IT-Sicherheitsmaßnahmen: In den jeweiligen Branchen sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese erarbeiteten Standards werden anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und – so als ausreichend angesehen – akzeptiert.
  • Die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen durch entsprechende Audits, Zertifizierungen etc. im Abstand von zwei Jahren. Bei Mängeln sind die gesamten Zertifizierungsergebnisse an das BSI zu übermitteln.
  • Die Angabe von Warn- und Alarmierungskontakten.
  • Die Meldepflicht von IT-Sicherheitsvorfällen und Beeinträchtigungen gefährdeter Prozesse und Systeme an die entsprechende Stelle des BSI.
  • Die Informationspflicht Nutzern gegenüber, wenn Ausfälle oder IT-Sicherheitsvorfälle zu unerlaubten Zugriff auf die Systeme der Nutzer führen könnten (Virenbefall).

Kritikpunkt von Unternehmen

Die Wirtschaft hatte sich in der Vergangenheit aus Angst vor Imageverlusten vehement gegen eine namentliche Meldepflicht gewehrt. Dies wurde im aktuell diskutierten Gesetzesentwurf berücksichtigt. Unter der Voraussetzung, dass es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, ist eine anonyme Meldung ausreichend. Im Gegenzug wird das BSI verpflichtet, die eingehenden Meldungen zu analysieren, ggf. erkennbare Angriffssystematiken zu identifizieren und potenziell gefährdete Unternehmen vor möglicherweise drohenden Übergriffen im Vorfeld zu warnen.

Ebenfalls als kritisch wurde bewertet, dass die Behörde einzelne Bewertungen von Produkten, Systemen oder Diensten veröffentlichen darf, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe. Unterm Strich erfährt die Öffentlichkeit also nicht mehr als bisher. Zugang zu den ausgesprochen sensiblen Informationen bekommen Interessierte nur auf Zustimmung der betroffenen Unternehmen.

Gemäß den mit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes einhergehenden Änderungen des Telekommunikations- und Telemediengesetzes werden Anbieter außerdem explizit dazu angehalten, Nutzungs- bzw. Verkehrsdaten (E-Mail, Telefon) zu speichern, um Störungen (inklusive IT-Sicherheitsvorfälle) in ihren Netzen oder Diensten zukünftig möglichst zu verhindern. Von Datenschützern und Netzaktivisten wird dies als der Versuch bewertet, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Die Vorratsdatenspeicherung ist definiert als die anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Im Zusammenhang mit dem „Kampf gegen Terror und Verbrechen“ hatte die EU vor einigen Jahren alle Telekommunikationsfirmen dazu angehalten, solche Daten zu sammeln und langfristig zu speichern. In Deutschland wurde die Regelung allerdings bereits 2010 vom Bundesverfassungsgericht als verfassungswidrig gekippt.

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Biz & Trends

Daddeln bis zur Medienkompetenz

Über die Relevanz von digitaler Bildung: Denn ein neues Denken ist nötig, damit Medienkompetenz seine Rolle als Schlüsselqualifikation in unserer Gesellschaft behaupten kann.

weiter lesen

Die Kanban-Prinzipien in der IT

Biz & Trends, Hosting, IT-News

Die Kanban-Prinzipien in der IT

Inzwischen hat Kanban auch Einzug in die IT, vor allem in die agile Software-Entwicklung gehalten. Kanban steht hier für ein Vorgehen, das sich auf...

weiter lesen

Serverdienste absichern

IT Security

Serverdienste absichern – Mißbrauchsgefahr!

Seit einigen Monaten scannt das Sicherheitsteam des Bundes (CERT-Bund) automatisch das gesamte "deutsche Internet" auf Sicherheitslücken.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

Bei uns erhalten Bewerber schnelles Feedback

Adacor hat sich eine hohe Wertschätzung von Mitarbeitern und Bewerbern auf die Fahne geschrieben, so ist es selbstverständlich, dass Bewerber schon nach wenigen Tagen...

weiter lesen

Cloud, Hosting

Kostenvergleich: Inhouse vs Cloud

Bei der Entscheidung ob Cloud oder In-House-Lösung müssen neben der Kostenfrage, auch Qualität und Leistung analysiert werden.

weiter lesen

Biz & Trends, IT-News

IT-Branche im stetigen Wandel

Mutige Experimente, neue Ideen und viel Innovationskraft machen die IT-Branche aus, wir haben die aktuellsten Trends zusammengestellt.

weiter lesen