Gegen Hacker und Cyberkriminelle: Deutschland will Weltmeister der IT-Sicherheit werden

Hacker und Cyberkriminelle sollen künftig einen Bogen um Deutschland machen. Mit einem neuen IT-Sicherheitsgesetz will die Bundesregierung ein Meldesystem etablieren, dessen hohe Standards die Infrastruktur von Energie- und Telekommunikationsfirmen, Banken, Versicherungen oder Versorgern besser vor Angriffen schützen sollen. Auch die Bereiche Ernährung, Gesundheit und Verkehr wurden aufgenommen. Bundesinnenminister Thomas de Maizière (CDU) veröffentlichte am Dienstag seinen Gesetzentwurf. Darin nimmt er Vorschläge aus der Wirtschaft auf, die in der vergangenen Legislaturperiode noch Widerstand gegen Pläne der Regierung geleistet hatte. Der zweite Anlauf könnte nun glücken.

Maizière sprach von einer notwendigen Neuerung, machte aber klar: „Eine totale Sicherheit werden wir nicht bekommen.“ Ziel des IT-Sicherheitsgesetzes ist laut dem Entwurf „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Die Systeme zur Datenverarbeitung müssten „der gestiegenen Bedrohungslage“ angepasst werden. In einem Begleitschreiben heißt es: „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden.“

Bei kleinen Schäden bleiben Meldungen anonym

Zwar ist offen, welche Branchen und Unternehmen genau in den Geltungsbereich des Gesetzes fallen – das wird eine Verordnung regeln –, aber die zentralen Punkte werden von der Wirtschaft mitgetragen. So werden die Unternehmen verpflichtet, Störungen an ihren IT-Systemen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Gerät dabei nicht die Infrastruktur in Mitleidenschaft oder kommt es zu keinem Systemausfall, kann diese Meldung auch anonym geschehen.

Schon heute haben etwa Internetprovider die Pflicht, den Angriff auf personenbezogene Daten öffentlich zu machen. Gleichzeitig sollen künftig zum Beispiel Telekommunikationsfirmen per Gesetz verpflichtet werden, ihren Nutzern, die von Hackerangriffen betroffen sind, „einfach bedienbare Hilfsmittel für die Erkennung und Beseitigung“ bereitzustellen.

Der Hightechverband Bitkom begrüßte, dass den Unternehmen in weniger gravierenden Meldefällen Anonymität zugesichert wird, um Imageschäden zu vermeiden. „Damit können wir gut leben“, sagte ein Sprecher. Noch besser fände es die Industrie aber, wenn eine „Clearingstelle“ zwischen Wirtschaft und Staat geschaltet würde, die die Meldungen aufnimmt und weitergibt.

Die Wirtschaft kann ihre Sicherheitsstandards selbst definieren

De Maizière betonte im ZDF, die neuen Regeln beträfen „nicht jedermann“, sondern es gehe um „wichtige Bereiche“. „Wer ein Risiko setzt für andere, trägt dafür auch Verantwortung“, sagte er. Cyberangriffe auf eine Firma der fraglichen Branchen könnten „das Funktionieren der gesamten Wirtschaft“ gefährden.

Mehr Freiheiten billigt die Regierung der Wirtschaft auch bei der Definition ihrer Sicherheitsstandards zu. In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln. „Es wäre ein Ding der Unmöglichkeit, wenn der Staat die Standards für jede einzelne Branche festlegen wollte“, sagte der Bitkom-Sprecher. Das Gesetz schlage nun „eine pragmatische Lösung“ vor. Die Regierung will außerdem die Zuständigkeit des Bundeskriminalamts (BKA) auf bestimmte Cyberdelikte ausweiten. Außerdem sollen beim BKA, beim BSI, beim Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe insgesamt mehr als 270 neue Stellen entstehen. Für Personalkosten und Sachmittel sind mehr als 20 Millionen Euro extra eingeplant.