Cyberkriminalität – Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Innenminister Thomas de Maizière hat am 18. August dieses Jahres den Entwurf zum neuen IT-Sicherheitsgesetz vorgestellt. Da es sich um ein Artikelgesetz handelt, geht es mit der Änderung verschiedener bestehender Gesetze einher, insbesondere des Telekommunikationsgesetztes (TKG) und des Telemediengesetztes (TMG). Mithilfe des neuen Gesetzes will die Bundesregierung Bürger zukünftig besser vor Hacker-Angriffen schützen. Aktuell befindet sich der Gesetzesentwurf in der Abstimmung zwischen den Ressorts. Bis Ende des Jahres soll es jedoch als zentraler Baustein der sogenannten „Digitalen Agenda“ verabschiedet sein.

Die Gefahr, von Hackern angegriffen zu werden, ist – so die Bundesregierung – besonders groß für Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser. Hier können Angriffe drastische Auswirkungen auf das öffentliche Leben haben. Erstmals soll es deshalb bald verbindliche Mindeststandards für die IT-Sicherheit der sensiblen Wirtschaftszweige geben. Dabei zielt der neue Gesetzentwurf vor allem auf die signifikante Verbesserung der IT-Sicherheit für die zugrundeliegenden Kommunikationsinfrastrukturen ab. Der Entwurf greift aber noch weiter. Vorgesehen sind auch Änderungen des Telemedien- und des Telekommunikationsgesetzes, die zunächst kaum Beachtung fanden. Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen.

Geltungsbereich und Auswirkungen für Unternehmen

Das Gesetz gilt im Wesentlichen nur für Unternehmen die bestimmte Telemediendienste, Telekommunikationsdienste und sogenannte kritische Infrastrukturen (z. B. Kraftwerke, Banken, Krankenhäuser etc.) betreiben. Also nur einen sehr eingeschränkten Kreis an Unternehmen. Diese müssen aber mit deutlich mehr Aufwand hinsichtlich der IT-Sicherheit rechnen als bisher, und zwar durch:

  • Die Vorgabe eines Mindeststandards an die IT-Sicherheitsmaßnahmen: In den jeweiligen Branchen sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese erarbeiteten Standards werden anschließend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und – so als ausreichend angesehen – akzeptiert.
  • Die Nachweispflicht hinsichtlich der Erfüllung der Sicherheitsanforderungen durch entsprechende Audits, Zertifizierungen etc. im Abstand von zwei Jahren. Bei Mängeln sind die gesamten Zertifizierungsergebnisse an das BSI zu übermitteln.
  • Die Angabe von Warn- und Alarmierungskontakten.
  • Die Meldepflicht von IT-Sicherheitsvorfällen und Beeinträchtigungen gefährdeter Prozesse und Systeme an die entsprechende Stelle des BSI.
  • Die Informationspflicht Nutzern gegenüber, wenn Ausfällte oder IT-Sicherheitsvorfälle zu unerlaubten Zugriff auf die Systeme der Nutzer führen könnten (Virenbefall).


 

Der Gesetzesentwurf in der Kritik

Die Wirtschaft hatte sich in der Vergangenheit aus Angst vor Imageverlusten vehement gegen eine namentliche Meldepflicht gewehrt. Dies wurde im aktuell diskutierten Gesetzesentwurf berücksichtigt. Unter der Voraussetzung, dass es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, ist eine anonyme Meldung ausreichend. Im Gegenzug wird das BSI verpflichtet, die eingehenden Meldungen zu analysieren, ggf. erkennbare Angriffssystematiken zu identifizieren und potenziell gefährdete Unternehmen vor möglicherweise drohenden Übergriffen im Vorfeld zu warnen.

Ebenfalls als kritisch wurde bewertet, dass die Behörde einzelne Bewertungen von Produkten, Systemen oder Diensten veröffentlichen darf, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe. Unterm Strich erfährt die Öffentlichkeit also nicht mehr als bisher. Zugang zu den ausgesprochen sensiblen Informationen bekommen Interessierte nur auf Zustimmung der betroffenen Unternehmen.

Gemäß den mit dem Inkrafttreten des neuen IT-Sicherheitsgesetzes einhergehenden Änderungen des Telekommunikations- und Telemediengesetzes werden Anbieter außerdem explizit dazu angehalten, Nutzungs- bzw. Verkehrsdaten (E-Mail, Telefon) zu speichern, um Störungen (inklusive IT-Sicherheitsvorfälle) in ihren Netzen oder Diensten zukünftig möglichst zu verhindern. Von Datenschützern und Netzaktivisten wird dies als der Versuch bewertet, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Die Vorratsdatenspeicherung ist definiert als die anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Im Zusammenhang mit dem „Kampf gegen Terror und Verbrechen“ hatte die EU vor einigen Jahren alle Telekommunikationsfirmen dazu angehalten, solche Daten zu sammeln und langfristig zu speichern. In Deutschland wurde die Regelung allerdings bereits 2010 vom Bundesverfassungsgericht als verfassungswidrig gekippt.

 

Thomas Wittbecker ist geschäftsführender Gesellschafter der ADACOR Hosting GmbH (www.adacor.de), Geschäftsführer der adesso hosting services GmbH und Gesellschafter und Mitgründer der FastBill GmbH.