Betreiber kritischer Infrastrukturen müssen künftig Sicherheitsstandards einhalten und Störungen melden. Dies wird in einem vom Parlament beschlossenen Gesetzentwurf festgelegt, der eine "freiwillige Vorratsdatenspeicherung" zulässt.
Auf Betreiber kritischer Infrastrukturen wie Energieversorger und Anbieter von Telekommunikations- und Telemediendiensten kommen neue Pflichten zu. Wer Einrichtungen betreibt, die für das Gemeinwesen besonders wichtig sind, muss künftig Mindeststandards zur IT-Sicherheit einhalten und erhebliche Störungen melden. Provider sollen ihre Angebote zudem künftig nach dem "Stand der Technik" vor Cyberangriffen schützen. Dies sieht der Regierungsentwurf für ein IT-Sicherheitsgesetz vor, den der Bundestag am Freitag in überarbeiteter Form mit dem Stimmen der großen Koalition verabschiedet hat. Die Opposition votierte dagegen.
Freiwillige Vorratsdatenspeicherung

Telekommunikationsunternehmen müssen ihre Kunden warnen, wenn ihnen auffällt, dass ihr Anschluss etwa für Angriffe über ein Botnetz missbraucht wird. Provider dürfen Verbindungsdaten speichern, um Störungen abzuwehren. Dies führt derzeit zu einer "freiwilligen Vorratsdatenspeicherung" zwischen drei Tagen und sechs Monaten, die Bürgerrechtlern und dem Bundesrat ein Dorn im Auge ist. Die Befugnis hat das Parlament trotzdem auf Fälle ausgedehnt, in denen Probleme mit Cyberattacken oder Spam auch nur am Horizont auftauchen könnten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur internationalen Zentralstelle für IT-Sicherheit ausgebaut werden. Es soll die Meldungen der Betreiber kritischer Infrastrukturen auswerten. Aus diesen muss auf jeden Fall hervorgehen, in welcher Art von Einrichtung oder Anlage der Betreiber die gestörte Informationstechnik einsetzt. Für die geplanten Mindestanforderungen wird nur ein Rahmen vorgegeben, die Details sollen von den betroffenen Firmen zusammen mit Verbänden und dem BSI festgelegt werden.
Die Regierungsfraktionen haben mitten in der Debatte über den massiven Hackerangriff auf das Parlament durchgesetzt, dass auch die internen IT-Stellen von Bundesbehörden Protokoll- und Schnittstellendaten an das BSI übermitteln müssen. Das Amt soll zudem anordnen können, dass Produkt- und Systemhersteller "in zumutbarem Umfang" etwa mit Sicherheitsupdates dabei helfen müssen, Lücken abzudichten oder Störungen zu beseitigen. Bis zu 216 neue Planstellen sieht die Regierung für die Behörde vor, damit sie ihre neuen Aufgaben erfüllen kann.
Mehr Arbeitsplätze fürs BKA und BSI

Das Bundeskriminalamt (BKA) soll bundesweit für Cyberdelikte wie das Ausspähen, Abfangen oder Verändern von Daten zuständig werden. Den dortigen Ressourcenaufwand schätzt das Bundeskabinett auf maximal 78 Stellen. Bis zu 48 neue Mitarbeiter sind für das Bundesamt für Verfassungsschutz eingeplant, die dem BSI bei der Analyse potenzielle Auswirkungen von Cyberangriffen auf die Verfügbarkeit kritischer Infrastrukturen behilflich sein soll. Dem Bundesnachrichtendienst (BND) wird es erlaubt, ausländische Datenstrecken auf Schadsoftware-Signaturen zu prüfen und Malware zurückzuverfolgen. Der Bedarf dafür wird auf maximal 30 Stellen geschätzt.

Unternehmen drohen Bußgelder bis zu 100.000 Euro, wenn sie gegen die Vorgaben verstoßen. Das Gesetz soll nach vier Jahren evaluiert werden.

Sprecher von CDU/CSU und SPD werteten das Vorhaben als wichtigen Schritt in die richtige Richtung. Vertreter der Linken hätten ein Verbot des kommerziellen Handels mit Sicherheitslücken in das Gesetz mit aufnehmen wollen. Das BSI muss ihrer Ansicht nach unabhängiger aufgestellt werden. Die Grünen monierten, dass die Vorschriften nicht ausreichten, um das Problem zu lösen. Mehr Open Source sei nötig, damit Sicherheitslücken einfacher auffindbar würden. Das Gesetz komme auch mindestens fünf Jahre zu spät. Im Anschluss an den Beschluss wollte der Bundestag in 1. Lesung über den heftig umstrittenen neuen Plan zur Vorratsdatenspeicherung debattieren. (Stefan Krempl) / (anw)


Quelle: Heise.de