Meldestelle: Das BSI sammelt künftig Informationen über elektronische Angriffe auf sensible IT-Infrastrukturen, um andere Anbieter zu warnen und Ausfälle zu vermeiden.
DPA
Mit Sicherheitsauflagen für sensible Branchen und Meldepflichten bei Sicherheitsvorfällen will die Regierung die IT-Sicherheit in Deutschland anheben. Auch Behörden müssen ihre IT-Systeme besser schützen.
In Deutschland gelten künftig strengere Sicherheitsstandards für die IT-Infrastruktur von Unternehmen bestimmter Branchen und Behörden. Der Bundestag hat am Freitag das IT-Sicherheitsgesetz gebilligt, das neben Mindeststandards auch Meldepflichten bei Störungen vorsieht.
Anders als im ursprünglichen Gesetzentwurf vorgesehen, müssen nun auch Bundesbehörden strengere Auflagen bei der IT-Sicherheit erfüllen. Kurz vor der Abstimmung im Bundestag war ein Hackerangriff auf die Computersysteme des Deutschen Bundestags bekannt geworden, dessen ganzes Ausmaß immer noch unklar ist.
Weitere Artikel zum Thema |
Die einzuhaltenden Mindestanforderungen für Bundesbehörden soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch festlegen.
Neue IT-Sicherheitsstandards für Unternehmen
Das neue Gesetz zielt unter anderem auf Unternehmen ab, die kritische Infrastrukturen betreiben, deren Ausfall zu Beeinträchtigungen in allen Bereichen des Lebens führen würden. Deshalb gelten für Unternehmen aus sensiblen Branchen wie der Energieversorgung, des Gesundheitswesens, der Telekommunikation sowie des Versicherungs- und Finanzwesens schon bald strengere Sicherheitsstandards. Betroffen sind von der Neuregelung ungefähr 2.000 Unternehmen. Zur Umsetzung des IT-Sicherheitsgesetzes bleibt den Firmen eine Frist von zwei Jahren.
Angriffe auf ihre IT-Infrastruktur müssen die Unternehmen anonym dem BSI melden. Nur wenn ein Systemausfall droht, muss der Name des Unternehmens genannt werden. Versäumen es die Konzerne, einen Sicherheitsvorfall zu kommunizieren, drohen Bußgelder bis zu 100.000 Euro. Das BSI sammelt die Informationen und wertet sie aus, um sich ein Bild von der Bedrohungslage zu verschaffen. Die Behörde kann dann andere Unternehmen vor aktuellen Angriffsmustern warnen.
Informationspflicht für Telekommunikationsanbieter
Neu ist auch, dass Telekommunikationsanbieter ihre Kunden informieren müssen, wenn von ihrem Computer aus auffällige Aktivitäten beispielsweise in Botnetzen bemerkt werden oder die Website oder E-Mail-Konten des Kunden für kriminelle Aktivitäten missbraucht wird. Die Provider dürfen zu diesem Zweck die Verkehrsdaten bis zu sechs Monate lang aufzeichnen.
Gleichzeitig dehnt das Gesetz die Befugnisse der Ermittlungsbehörden aus und stärkt beispielsweise die Rolle des Bundeskriminalamts bei der Zuständigkeit für Computerdelikte. Nach vier Jahren soll das IT-Sicherheitsgesetz dann selbst auf den Prüfstand gestellt werden.