Die Bundesregierung will sensible IT-Infrastrukturen in Deutschland besser schützen. Dafür nimmt das Innenministerium die Energie- und Telekommunikationsunternehmen, Banken, Versicherungen und auch Wasserversorger in die Pflicht. Sie sollen verpflichtet werden, Angriffe auf ihre Computersysteme sofort zu melden. Das steht im Entwurf für ein neues IT-Sicherheitsgesetz, den Bundesinnenminister Thomas de Maizière (CDU) nun vorgelegt hat. Es handelt sich um ein Artikelgesetz und geht deshalb mit der Änderung verschiedener bestehender Gesetze einher.

Demnach sollen die Unternehmen einen Angriff auf ihre Systeme auch anonym ans Bundesamt für Sicherheit in der Informationstechnik (BSI) melden können. Allerdings nur dann wenn es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt. Die Wirtschaft hatte sich in der Vergangenheit gegen eine namentliche Meldepflicht gewehrt, weil sie Imageverluste fürchtete.  

Der Schutz kritischer Infrastrukturen habe aber oberste Priorität, heißt es in dem Entwurf. Deutschland sei zunehmend Ziel von Cyberangriffen und Spionage: "Die vielfach international agierenden Angreifer arbeiten immer professioneller und effizienter", heißt es. Das Niveau der IT-Sicherheit sei aber derzeit sehr unterschiedlich und zum Teil rudimentär.

Die Unternehmen sollen nun zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Diese Standards müssen vom BSI abgesegnet werden. In Zukunft sollen die Firmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Jahresbericht vom Innenministerium

Das BSI wiederum wird verpflichtet, die eingehenden Meldungen auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Daten übermittelt es an das Bundesinnenministerium, das fertigt daraus einmal im Jahr einen "zusammenfassenden Bericht". Die Behörde darf aber auch einzelne Meldungen veröffentlichen, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe, die Öffentlichkeit erfährt also nicht mehr als bisher. Zugang zu den entsprechenden Informationen bekommen Interessierte nur, wenn die betroffenen Unternehmen dem zustimmen. 

Genauso wenig soll es Informationen darüber geben, was denn als kritische Infrastruktur gilt und nach welchen Kriterien diese ausgewählt wurde. Zitat aus dem Entwurf: "Zugang zu Akten, die diese Verordnung betreffen, wird nicht gewährt." Einzig Telekommunikationsanbieter und Netzbetreiber werden dem Gesetzesentwurf zufolge verpflichtet, auch ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen.

Piraten fordern Informationspflicht gegenüber Kunden

Die Piratenpartei hält den Ansatz für falsch: "Eine Meldepflicht für IT-Angriffe hilft niemandem weiter, wenn nur das BSI und das BKA über Sicherheitslecks informiert werden", teilt der Bundesvorsitzende Stefan Körner mit. Die Piraten fordern, "dass alle Betreiber kritischer Infrastrukturen gesetzlich dazu verpflichtet werden, Kunden über Sicherheitsvorfälle zu informieren."

Die Zuständigkeit des Bundeskriminalamts (BKA) soll auf bestimmte Cyberdelikte ausgeweitet werden, für die bislang noch die Länder verantwortlich sind. Außerdem bekommen die zuständigen Sicherheitsbehörden zusätzliches Geld und Personal: Allein das BSI soll 133 zusätzliche Stellen bekommen. Bei derzeit rund 600 Mitarbeitern wäre das eine erhebliche Vergrößerung. Das BKA bekäme 79 weitere Stellen, das Bundesamt für Verfassungsschutz 55. Wie das Innenministerium auf die Zahl 55 kommt, geht aus dem Entwurf nicht hervor. Die neuen Aufgaben des Verfassungsschutzes werden nicht näher erläutert. Er soll in irgendeiner Weise bei der Analyse von Bedrohungen mitwirken.