Der Staat soll von Angriffen erfahren, die Bürger nicht – Seite 1

Die Bundesregierung will sensible IT-Infrastrukturen in Deutschland besser schützen. Dafür nimmt das Innenministerium die Energie- und Telekommunikationsunternehmen, Banken, Versicherungen und auch Wasserversorger in die Pflicht. Sie sollen verpflichtet werden, Angriffe auf ihre Computersysteme sofort zu melden. Das steht im Entwurf für ein neues IT-Sicherheitsgesetz, den Bundesinnenminister Thomas de Maizière (CDU) nun vorgelegt hat. Es handelt sich um ein Artikelgesetz und geht deshalb mit der Änderung verschiedener bestehender Gesetze einher.

Demnach sollen die Unternehmen einen Angriff auf ihre Systeme auch anonym ans Bundesamt für Sicherheit in der Informationstechnik (BSI) melden können. Allerdings nur dann wenn es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt. Die Wirtschaft hatte sich in der Vergangenheit gegen eine namentliche Meldepflicht gewehrt, weil sie Imageverluste fürchtete.  

Der Schutz kritischer Infrastrukturen habe aber oberste Priorität, heißt es in dem Entwurf. Deutschland sei zunehmend Ziel von Cyberangriffen und Spionage: "Die vielfach international agierenden Angreifer arbeiten immer professioneller und effizienter", heißt es. Das Niveau der IT-Sicherheit sei aber derzeit sehr unterschiedlich und zum Teil rudimentär.

Die Unternehmen sollen nun zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Diese Standards müssen vom BSI abgesegnet werden. In Zukunft sollen die Firmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Jahresbericht vom Innenministerium

Das BSI wiederum wird verpflichtet, die eingehenden Meldungen auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Daten übermittelt es an das Bundesinnenministerium, das fertigt daraus einmal im Jahr einen "zusammenfassenden Bericht". Die Behörde darf aber auch einzelne Meldungen veröffentlichen, wenn das im Interesse der Öffentlichkeit liegt. Andersherum gibt es aber keine Auskunftspflicht – es kann also niemand einfach so Informationen zu Schwierigkeiten und Pannen verlangen. Es gibt damit keine von jedem einsehbare Sammlung tatsächlich erfolgter Angriffe, die Öffentlichkeit erfährt also nicht mehr als bisher. Zugang zu den entsprechenden Informationen bekommen Interessierte nur, wenn die betroffenen Unternehmen dem zustimmen. 

Genauso wenig soll es Informationen darüber geben, was denn als kritische Infrastruktur gilt und nach welchen Kriterien diese ausgewählt wurde. Zitat aus dem Entwurf: "Zugang zu Akten, die diese Verordnung betreffen, wird nicht gewährt." Einzig Telekommunikationsanbieter und Netzbetreiber werden dem Gesetzesentwurf zufolge verpflichtet, auch ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen.

Piraten fordern Informationspflicht gegenüber Kunden

Die Piratenpartei hält den Ansatz für falsch: "Eine Meldepflicht für IT-Angriffe hilft niemandem weiter, wenn nur das BSI und das BKA über Sicherheitslecks informiert werden", teilt der Bundesvorsitzende Stefan Körner mit. Die Piraten fordern, "dass alle Betreiber kritischer Infrastrukturen gesetzlich dazu verpflichtet werden, Kunden über Sicherheitsvorfälle zu informieren."

Die Zuständigkeit des Bundeskriminalamts (BKA) soll auf bestimmte Cyberdelikte ausgeweitet werden, für die bislang noch die Länder verantwortlich sind. Außerdem bekommen die zuständigen Sicherheitsbehörden zusätzliches Geld und Personal: Allein das BSI soll 133 zusätzliche Stellen bekommen. Bei derzeit rund 600 Mitarbeitern wäre das eine erhebliche Vergrößerung. Das BKA bekäme 79 weitere Stellen, das Bundesamt für Verfassungsschutz 55. Wie das Innenministerium auf die Zahl 55 kommt, geht aus dem Entwurf nicht hervor. Die neuen Aufgaben des Verfassungsschutzes werden nicht näher erläutert. Er soll in irgendeiner Weise bei der Analyse von Bedrohungen mitwirken.

Internetwirtschaft ist gegen das Vorhaben

Der Referentenentwurf geht nun noch durch die Ministerien für Wirtschaft, Justiz und Verkehr. Danach "soll das Vorhaben im Rahmen einer breiten öffentlichen Debatte intensiv mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft erörtert werden", teilte das Innenministerium mit.

Der Verband der deutschen Internetwirtschaft eco lehnt das Vorhaben rundweg ab: "Gerade auch im Hinblick auf die im Entwurf genannten Betreiber kritischer Infrastrukturen, die teilweise europa- beziehungsweise weltweit tätig sind, sind nationale Alleingänge nicht hilfreich", teilt der Verband mit.

Gefahr einer "Vorratsdatenspeicherung light"

Jürgen Geuter, Informatiker und wissenschaftlicher Mitarbeiter an der Universität Oldenburg, findet es "grundsätzlich sehr begrüßenswert, dass die Bundesregierung daran arbeitet, die Anbieter von IT-Infrastruktur zur Einhaltung von verlässlichen Sicherheitsstandards zu verpflichten." Er kritisiert aber, dass "Betreiber kritischer Infrastrukturen und ihre Branchenverbände 'branchenspezifische Sicherheitsstandards vorschlagen' können, die dann vom BSI anerkannt werden können. Hier sehe ich die Gefahr, dass die Sicherheitsstandards aus Kostengründen zu sehr aufgeweicht werden könnten."

Und noch ein Abschnitt im Gesetzentwurf stört Geuter. So soll das Telemediengesetz geändert werden und es den Anbietern von Telekommunikationsdiensten erlauben, "zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern" Bestands- und Verkehrsdaten der Nutzer zu erheben und zu verwenden. "So sehr das für die beschriebenen Fälle Sinn ergibt", sagt Geuter, "so sehr werden hier potenziell Begehrlichkeiten von Strafverfolgungsbehörden geweckt, die genau an diesen Daten ebenfalls Interesse haben dürften. Hier wäre eine rechtliche Trennlinie wünschenswert, um die Einführung einer 'Vorratsdatenspeicherung light' auf diesem Wege zu unterbinden."