Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Heute hat das Bundeskabinett das neue IT-Sicherheitsgesetz verabschiedet. Es soll als zentraler Baustein der sogenannten „Digitalen Agenda“ dienen.

Achtung CybercrimeDa es sich um ein Artikelgesetz handelt, geht es mit der Änderung verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetztes (TKG) und des Telemediengesetztes (TMG). Mithilfe des neuen Gesetzes will die Bundesregierung Bürger zukünftig besser vor Hacker-Angriffen schützen. Aktuell befindet sich der Gesetzesentwurf in der Abstimmung zwischen den Ressorts.

Wir fassen die wichtigsten Änderungen und Konsequenzen kurz zusammen.

Die Gefahr, von Hackern angegriffen zu werden, ist – so die Bundesregierung – besonders groß für Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser. Hier können Angriffe drastische Auswirkungen auf das öffentliche Leben haben. Erstmals soll es deshalb bald verbindliche Mindeststandards für die IT-Sicherheit der sensiblen Wirtschaftszweige geben. Dabei zielt das neue Gesetz vor allem auf die signifikante Verbesserung der IT-Sicherheit für die zugrundeliegenden Kommunikationsinfrastrukturen ab.

Weitere Änderungen

IT Sicherheitsgesetz Kritik

Im Entwurf waren auch Änderungen des Telemedien- und des Telekommunikationsgesetzes vorgesehen, die zunächst kaum Beachtung fanden. Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen.

Geltungsbereich und Auswirkungen für Unternehmen

Das Gesetz gilt im Wesentlichen nur für Unternehmen die bestimmte Telemediendienste, Telekommunikationsdienste und sogenannte kritische Infrastrukturen (z. B. Kraftwerke, Banken, Krankenhäuser etc.) betreiben. Also nur einen sehr eingeschränkten Kreis an Unternehmen. Diese müssen aber mit deutlich mehr Aufwand hinsichtlich der IT-Sicherheit rechnen als bisher, und zwar durch:

  • Die Vorgabe eines Mindeststandards an die IT-Sicherheitsmaßnahmen: In den jeweiligen Branchen sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese erarbeiteten Standards werden anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und – so als ausreichend angesehen – akzeptiert.
  • Die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen durch entsprechende Audits, Zertifizierungen etc. im Abstand von zwei Jahren. Bei Mängeln sind die gesamten Zertifizierungsergebnisse an das BSI zu übermitteln.
  • Die Angabe von Warn- und Alarmierungskontakten.
  • Die Meldepflicht von IT-Sicherheitsvorfällen und Beeinträchtigungen gefährdeter Prozesse und Systeme an die entsprechende Stelle des BSI.
  • Die Informationspflicht Nutzern gegenüber, wenn Ausfälle oder IT-Sicherheitsvorfälle zu unerlaubten Zugriff auf die Systeme der Nutzer führen könnten (Virenbefall).

Kritikpunkt von Unternehmen

Die Wirtschaft hatte sich in der Vergangenheit aus Angst vor Imageverlusten vehement gegen eine namentliche Meldepflicht gewehrt. Dies wurde im aktuell diskutierten Gesetzesentwurf berücksichtigt. Unter der Voraussetzung, dass es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, ist eine anonyme Meldung ausreichend. Im Gegenzug wird das BSI verpflichtet, die eingehenden Meldungen zu analysieren, ggf. erkennbare Angriffssystematiken zu identifizieren und potenziell gefährdete Unternehmen vor möglicherweise drohenden Übergriffen im Vorfeld zu warnen.

Ebenfalls als kritisch wurde bewertet, dass die Behörde einzelne Bewertungen von Produkten, Systemen oder Diensten veröffentlichen darf, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe. Unterm Strich erfährt die Öffentlichkeit also nicht mehr als bisher. Zugang zu den ausgesprochen sensiblen Informationen bekommen Interessierte nur auf Zustimmung der betroffenen Unternehmen.

Gemäß den mit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes einhergehenden Änderungen des Telekommunikations- und Telemediengesetzes werden Anbieter außerdem explizit dazu angehalten, Nutzungs- bzw. Verkehrsdaten (E-Mail, Telefon) zu speichern, um Störungen (inklusive IT-Sicherheitsvorfälle) in ihren Netzen oder Diensten zukünftig möglichst zu verhindern. Von Datenschützern und Netzaktivisten wird dies als der Versuch bewertet, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Die Vorratsdatenspeicherung ist definiert als die anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Im Zusammenhang mit dem „Kampf gegen Terror und Verbrechen“ hatte die EU vor einigen Jahren alle Telekommunikationsfirmen dazu angehalten, solche Daten zu sammeln und langfristig zu speichern. In Deutschland wurde die Regelung allerdings bereits 2010 vom Bundesverfassungsgericht als verfassungswidrig gekippt.


Weitere Artikel zum Thema lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen

Schutz vor Trojanern

IT Security

Ransomware – Wie kann man sich schützen?

So funktioniert das lukrative Geschäft mit der Erpressung in der digitalen Welt.

weiter lesen

Hybrid Cloud – Definition und Erklärvideo

Cloud, Hosting, IT Security

Hybrid Cloud – Definition und Erklärvideo

Clouds für Unternehmen werden zukünftig vor allem hybrid. Unser Video erleichtert es Ihnen, die unterschiedlichen Cloud-Optionen zu verstehen.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.