Menü
Ein Beitrag von Adacor

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Heute hat das Bundeskabinett das neue IT-Sicherheitsgesetz verabschiedet. Es soll als zentraler Baustein der sogenannten „Digitalen Agenda“ dienen.

Achtung CybercrimeDa es sich um ein Artikelgesetz handelt, geht es mit der Änderung verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetztes (TKG) und des Telemediengesetztes (TMG). Mithilfe des neuen Gesetzes will die Bundesregierung Bürger zukünftig besser vor Hacker-Angriffen schützen. Aktuell befindet sich der Gesetzesentwurf in der Abstimmung zwischen den Ressorts.

Wir fassen die wichtigsten Änderungen und Konsequenzen kurz zusammen.

Die Gefahr, von Hackern angegriffen zu werden, ist – so die Bundesregierung – besonders groß für Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser. Hier können Angriffe drastische Auswirkungen auf das öffentliche Leben haben. Erstmals soll es deshalb bald verbindliche Mindeststandards für die IT-Sicherheit der sensiblen Wirtschaftszweige geben. Dabei zielt das neue Gesetz vor allem auf die signifikante Verbesserung der IT-Sicherheit für die zugrundeliegenden Kommunikationsinfrastrukturen ab.

Weitere Änderungen

IT Sicherheitsgesetz Kritik

Im Entwurf waren auch Änderungen des Telemedien- und des Telekommunikationsgesetzes vorgesehen, die zunächst kaum Beachtung fanden. Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen.

Geltungsbereich und Auswirkungen für Unternehmen

Das Gesetz gilt im Wesentlichen nur für Unternehmen die bestimmte Telemediendienste, Telekommunikationsdienste und sogenannte kritische Infrastrukturen (z. B. Kraftwerke, Banken, Krankenhäuser etc.) betreiben. Also nur einen sehr eingeschränkten Kreis an Unternehmen. Diese müssen aber mit deutlich mehr Aufwand hinsichtlich der IT-Sicherheit rechnen als bisher, und zwar durch:

  • Die Vorgabe eines Mindeststandards an die IT-Sicherheitsmaßnahmen: In den jeweiligen Branchen sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese erarbeiteten Standards werden anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und – so als ausreichend angesehen – akzeptiert.
  • Die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen durch entsprechende Audits, Zertifizierungen etc. im Abstand von zwei Jahren. Bei Mängeln sind die gesamten Zertifizierungsergebnisse an das BSI zu übermitteln.
  • Die Angabe von Warn- und Alarmierungskontakten.
  • Die Meldepflicht von IT-Sicherheitsvorfällen und Beeinträchtigungen gefährdeter Prozesse und Systeme an die entsprechende Stelle des BSI.
  • Die Informationspflicht Nutzern gegenüber, wenn Ausfälle oder IT-Sicherheitsvorfälle zu unerlaubten Zugriff auf die Systeme der Nutzer führen könnten (Virenbefall).

Kritikpunkt von Unternehmen

Die Wirtschaft hatte sich in der Vergangenheit aus Angst vor Imageverlusten vehement gegen eine namentliche Meldepflicht gewehrt. Dies wurde im aktuell diskutierten Gesetzesentwurf berücksichtigt. Unter der Voraussetzung, dass es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, ist eine anonyme Meldung ausreichend. Im Gegenzug wird das BSI verpflichtet, die eingehenden Meldungen zu analysieren, ggf. erkennbare Angriffssystematiken zu identifizieren und potenziell gefährdete Unternehmen vor möglicherweise drohenden Übergriffen im Vorfeld zu warnen.

Ebenfalls als kritisch wurde bewertet, dass die Behörde einzelne Bewertungen von Produkten, Systemen oder Diensten veröffentlichen darf, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe. Unterm Strich erfährt die Öffentlichkeit also nicht mehr als bisher. Zugang zu den ausgesprochen sensiblen Informationen bekommen Interessierte nur auf Zustimmung der betroffenen Unternehmen.

Gemäß den mit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes einhergehenden Änderungen des Telekommunikations- und Telemediengesetzes werden Anbieter außerdem explizit dazu angehalten, Nutzungs- bzw. Verkehrsdaten (E-Mail, Telefon) zu speichern, um Störungen (inklusive IT-Sicherheitsvorfälle) in ihren Netzen oder Diensten zukünftig möglichst zu verhindern. Von Datenschützern und Netzaktivisten wird dies als der Versuch bewertet, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Die Vorratsdatenspeicherung ist definiert als die anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Im Zusammenhang mit dem „Kampf gegen Terror und Verbrechen“ hatte die EU vor einigen Jahren alle Telekommunikationsfirmen dazu angehalten, solche Daten zu sammeln und langfristig zu speichern. In Deutschland wurde die Regelung allerdings bereits 2010 vom Bundesverfassungsgericht als verfassungswidrig gekippt.


Weitere Artikel zum Thema lesen

Vorteile des Cloud-Computings – Auswahlkriterien im Überblick

Biz & Trends, Cloud

Vorteile des Cloud-Computings – Auswahlkriterien im Überblick

Der Trend ist eindeutig: Cloud-Computing wird immer beliebter, da es viele Vorteile bietet. Immer mehr Unternehmen verzichten ganz oder teilweise auf eigene Infrastruktur, um...

weiter lesen

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

IT Security

Achtung Ransomware – die wichtigsten Verhaltensmaßnahmen

Unsere Tipps wie man sich vor den Trojanern schützen kann.

weiter lesen

Das Infrastrukturteam – Arbeit an der technischen Basis der ADACOR

Biz & Trends, Cloud, Domains, Hosting

Das Infrastrukturteam – Arbeit an der technischen Basis der ADACOR

Diesmal möchten wir ganz gezielt das Infrastrukturteam der ADACOR Hosting in den Fokus der Betrachtung rücken. Als eine Art „betriebsinterner Dienstleister“ legt es die...

weiter lesen


Neueste Nachrichten von Adacor

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Der Schlüssel zum effektiven Domain Management

Domains

Domain Management: Verwalten Sie Ihre Domains (noch) selbst?

Die Anzahl der Domains nimmt verstärkt zu. Deren Management wird zunehmend zur Herausforderung. Wir bieten Ihnen den Schlüssel zum effektiven Domain Management.

weiter lesen

So funktioniert Cloud Hosting

Cloud

So funktioniert Cloud Hosting

Das Modell Cloud Hosting verspricht jederzeit skalierbare, virtualisierte Server, die immer die Leistung zur Verfügung stellen, die gerade benötigt wird.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.