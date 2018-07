Der Bundestag hat mit den Stimmen der großen Koalition das IT-Sicherheitsgesetz verabschiedet. Betreiber kritischer Infrastrukturen müssen künftig Angriffe auf ihre Computer und Netzwerke sofort dem Bund melden. Genauer gesagt: dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das BSI soll die Informationen auswerten und ein Lagebild erstellen, um andere Unternehmen zu warnen. Außerdem müssen die Firmen künftig Mindeststandards bei der IT-Sicherheit erfüllen, die von den Aufsichtsbehörden überprüft werden. Für die Ausformulierung dieser Standards und deren Umsetzung haben die Firmen zwei Jahre Zeit.

Verbände und Unternehmen waren lange gegen die Meldepflicht. Zu sehr fürchteten sie, öffentlich angeprangert zu werden. Eine in dieser Woche in den USA veröffentlichte Studie besagt: Unternehmen halten den PR-Schaden nach einem Angriff für gravierender als den tatsächlichen Schaden, der zum Beispiel durch den Verlust von Kundendaten entsteht.



Anonyme Meldung beim BSI

"Wir wissen, das ist peinlich", sagte Bundesinnenminister Thomas de Maizière (CDU) zu Beginn der Debatte. Deshalb wird es den Unternehmen möglich sein, sich anonym beim BSI zu melden – es sei denn, der Vorfall kann zu einem Ausfall des Betriebs führen und wäre somit potenziell für die ganze Branche gefährlich. Telekommunikationsunternehmen werden immerhin verpflichtet, betroffene Nutzer über Störfälle wie etwa Datenverluste zu informieren. Ziel des Gesetzes sei es, sagte de Maizière, zu verhindern, dass aus dem Schaden für einen einzelnen der Schaden vieler wird.

Apropos Schaden: Die Ironie, an diesem Tag ein IT-Sicherheitsgesetz zu verabschieden, das nur die Wirtschaft betrifft, während der Bundestag selbst als gründlich gehackt gilt, war den Abgeordneten nicht entgangen. Aber Bundestagspräsident Norbert Lammert ermahnte sie unmittelbar vor der Abstimmung, den Vorfall nicht zur öffentlichen Kritik an der Bundestags-IT zu nutzen, deren Aufbau und Betrieb sie selbst beschlossen hatten. Lammert nahm die zuständigen Mitarbeiter der Bundestagsverwaltung in Schutz, die "seit Wochen einen außerordentlich unangenehmen Job erledigen, und das mit bemerkenswertem Einsatz".

Immerhin: Auch Bundesbehörden (nicht jedoch der Bundestag selbst) müssen künftig Mindestanforderungen an ihre Computersysteme erfüllen, die das BSI vorgibt. Dass die Meldepflicht aber nur für die Wirtschaft und nicht für Behörden gilt, war nur einer der vielen Kritikpunkte der Opposition.

Opposition kritisiert Ungenauigkeiten

So bemängelte die Linke, dass im Gesetz viele Begriffe nicht definiert werden. Was zum Beispiel unter kritischen Infrastrukturen zu verstehen ist, geht aus dem Text nicht hervor. "Energie, Wasser, Gesundheitsversorgung, Telekommunikation, Banken und Versicherungen" hatte de Maizière eingangs erwähnt. Aber welche Größe zum Beispiel ein Stadtwerk haben muss, um als Betreiber einer kritischen Infrastruktur zu gelten, geht aus dem Gesetzestext nicht hervor. Schätzungen zufolge werden mindestens 2.000 Betriebe vom Gesetz betroffen sein.

Auch dass Bundeskriminalamt, Bundesamt für Verfassungsschutz und Bundesnachrichtendienst neue personelle und finanzielle Mittel bekommen sollen, weil mit dem Gesetz ihr Aufgabenbereich wächst, missfällt der Opposition.