Am Freitag hat der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet.

Was soll mit dem neuen Gesetz erreicht werden?

Nun, wie der Name schon sagt, soll die Sicherheit von IT-Systemen erhöht werden. Dabei stehen Unternehmen im Fokus, die für unsere Gesellschaft von zentraler Bedeutung sind. Zu nennen sind hier Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversorgung und Abwasserentsorgung, Ernährung, Finanz- und Versicherungswesen, Medien und Kultur (Rundfunk, Presse und Kulturgüter) sowie Einrichtungen des Staates und der Verwaltung. Diese Unternehmen und Einrichtungen des Staates werden als sog. KRITIS-Unternehmen bezeichnet. KRITIS steht dabei für „Kritische Infrastruktur“.

Die Bundesregierung geht von rund 2.000 Unternehmen aus, die unter KRITIS-Unternehmen zusammengefasst werden können. Diese werden mit dem Gesetz verpflichtet, Angriffe auf ihre IT-Systeme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Allerdings erfolgt die Meldung in der Regel anonym. Nur wenn ein Systemausfall droht, muss der Name des Unternehmens dem BSI gemeldet werden. Sollten Unternehmen ihrer Meldepflicht nicht nachkommen, drohen Strafen von bis zu 100.000 Euro. Durch diese Meldungen erhoffen sich die Bundesbehörden ein besseres Bild über die aktuelle Sicherheitslage und wollen andere Unternehmen vor ähnlichen Angriffen warnen.

Spezielle Anforderungen an die Informationssicherheit

KRITIS-Unternehmen werden durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Sicherheitsstandards für ihre IT-Systeme einzuhalten. Die Einhaltung dieser (noch zu entwickelnder Standards) soll vom BSI überprüft werden .Die Anforderung aus dem Gesetz zielt auf ein Informationssicherheits-Managementsystem (ISMS), welches konform zur ISO 27001 sein soll. Wie die Ausgestaltung des ISMS erfolgen soll, haben wir bereits in einem früheren Artikel beschrieben.

Änderung des Telemediengesetzes

Das IT-Sicherheitsgesetz hat auch Auswirkungen auf das Telemediengesetz. Die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten werden erhöht, um u.a. die Verbreitung von Schadsoftware einzudämmen. Von den Änderungen im Telemediengesetz sind nicht nur KRITIS-Unternehmen betroffen, sondern alle Diensteanbieter, die geschäftsmäßig Telemedien anbieten. Die Diensteanbieter sollen sicherstellen, dass kein unerlaubter Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten und Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Diese Anforderung gilt für alle kommerziellen Dienstanbieter inkl. werbefinanzierter Webseiten, sofern hierüber entsprechende Einnahmen erzielt werden. Das nicht-kommerzielle Angebot von Telemedien durch Private und Vereine wird demgegenüber nicht erfasst. Verstöße können mit Bußgeldern von bis zu 50.000 Euro geahndet werden.

Kritik

Kritik kommt von verschiedenen Stellen. Zum einen werden Stimmen aus der Wirtschaft laut, die hohe Kosten auf die Unternehmen zukommen sehen. Eine Studie schätzt die Kosten für Meldepflichten auf 1,1 Milliarden Euro. Zum anderen werden auch Stimmen laut, die in den Änderungen des Telemediengesetzes eine quasi Einführung einer Vorratsdatenspeicherung sehen. Die Gesetzesänderung erlaubt Nutzerverhalten zu speichern.