IT-Sicherheitsgesetz - Bundesregierung beschließt Meldepflicht für Cyberangriffe

Am 17.12.2014, in der letzten Kabinettssitzung des Jahres beschloss die Bundesregierung den wesentlich überarbeiteten Entwurf des IT-Sicherheitsgesetzes. Das Gesetz ist ein Baustein der von der Bundesregierung verfassten Digitalen Agenda 2014-2017 (Grundsätze der Digitalpolitik der Bundesrepublik).

Ziel des Gesetzes ist eine signifikante Verbesserung der IT-Sicherheit in Unternehmen und Behörden in Deutschland durch die Einhaltung eines Mindestniveaus an IT-Sicherheit. Darüber hinaus wird der Schutz der Bürgerinnen und Bürger in einem sicheren Netz verstärkt.

Insbesondere sollen Aspekte der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität in der IT verbessert werden. Impulse für die Überarbeitung der ursprünglichen Version des IT-Sicherheitsgesetzes haben vor allem die IT-Berufsverbände geliefert.

Einige Kritikpunkte sind im Gesetzesentwurf nach wie vor nicht berücksichtigt worden. Speziell sind das die zusätzlichen Verpflichtungen, die auf den betroffenen Unternehmen lasten. Die gesetzeskonforme und rechtzeitige Planung, Umsetzung und Aufrechterhaltung der organisatorischen und technischen Sicherheitsmaßnahmen können u.U. mit erheblichem finanziellem Aufwand verbunden sein. Ein weiterer Kritikpunkt ist die nationale und nicht europaweit einheitliche Umsetzung des IT-Sicherheitsgesetzes. In den nächsten Monaten wird das IT-Sicherheitsgesetz im Bundestag vorgelegt und voraussichtlich im Sommer 2015 in Kraft treten.

Durch das Gesetz wird die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) gestärkt. Die genannten Ämter sollen nicht nur die Umsetzung des IT-Sicherheitsgesetzes kontrollieren sondern vor allem unterstützend und beratend bei dessen Implementierung den Organisationen zu Seite stehen.

Betroffen von dem Gesetz sind die Betreiber der sogenannten Kritischen Infrastrukturen. Kritische Infrastrukturen werden als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ verstanden. [Quelle: BMI]

Dazu gehören vor allem Organisationen aus folgenden Sektoren:

• Energie (Strom, Mineralöl, Gas)
• Informationstechnik und Telekommunikation
• Transport und Verkehr
• Gesundheit
• Wasser
• Ernährung
• Finanz- und Versicherungswesen
• Staat und Verwaltung
• Medien und Kultur

Die Bundesregierung geht derzeit davon aus, dass etwa 2.000 der zu den Betreibern Kritischer Infrastrukturen zählenden Unternehmen und Behörden unter das Gesetz fallen. Eine konkrete Zahl kann erst nach der Veröffentlichung der Rechtsverordnung genannt werden. Die Mindestanforderungen des IT-Sicherheitsgesetzes müssen in Sicherheits- und Notfallkonzepten geplant und ihre Umsetzung dokumentiert werden [Quelle: BMI].

Für die Planung und Umsetzung der organisatorischen und technischen IT-Sicherheitsmaßnahmen steht eine Reihe von branchenunabhängigen und branchenspezifischen Standards zur Verfügung. Der Nachweis über ihre wirksame Implementierung erfolgt über regelmäßige Audits und Zertifizierungen durch autorisierte Prüfer und Prüfgesellschaften. Die Ergebnisse der Audits und die aufgedeckten Sicherheitsmängel müssen regelmäßig dem BSI gemeldet werden. Ein weiterer wichtiger Aspekt des IT-Sicherheitsgesetzes ist eine Meldepflicht von Sicherheitsvorfällen an das BSI als zentrale Meldestelle.