WiWo App Jetzt gratis testen
Anzeigen

Nach Cyberattacke Bundestag beschließt Gesetz für IT-Sicherheit

Der Bundestag hat am Freitag ein Gesetz für mehr IT-Sicherheit beschlossen und reagiert damit auf die wachsende Bedrohung durch Cyberattacken. Das Gesetz sieht strengere Sicherheitsstandards für Unternehmen vor.

Die Angreifer seien tief in das Netzwerk des Bundestags eingedrungen. Quelle: dpa

Inmitten des andauernden Cyber-Angriffs auf den Bundestag haben die Abgeordneten am Freitag strengere Regeln für die IT-Sicherheit von wichtigen Unternehmen beschlossen. Auch Bundesbehörden müssen danach künftig Mindestanforderungen an ihre Computer-Systeme erfüllen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgibt.

Das Parlament ist davon nicht betroffen. Es ist selbst für seine IT zuständig. Die Attacke auf den Bundestag sei schwer, unterstrichen die Abgeordneten. „Das Netz ist kompromittiert“, sagte Petra Sitte (Linke). Die Angreifer seien tief in das Netzwerk eingedrungen.

„Wir haben eine Schlacht verloren“, sagte die Grünen-Abgeordnete Renate Künast. „Wir wissen nicht einmal, gegen wen wir diese Schlacht verloren haben. Das ist nicht unwichtig bei der Analyse und beim Abstellen.“ Der Angriff zeige, dass die Bundestags-IT nicht ordentlich aufgestellt sei.

Diese Cyber-Gefahren gilt es zu entschärfen

Angesichts der Attacke, die immer noch andauert, bemerkte der Grünen-Abgeordnete Dieter Janecek: „Wir stehen ganz schön peinlich da, wenn wir heute über ein IT-Sicherheitsgesetz beraten, wir das aber selber nicht hinkriegen.“

Das IT-Sicherheitsgesetz soll dafür sorgen, dass wichtige Unternehmen besser gegen Cyber-Angriffe geschützt sind. Energieunternehmen, Banken oder Krankenhäuser müssen Mindestanforderungen an ihre Computersysteme einhalten. Sie müssen Angriffe BSI melden. Dies geschieht anonym, sofern der Vorfall noch nicht zu einer gefährlichen Beeinträchtigung geführt hat. Das BSI wertet die Informationen aus und erstellt ein Lagebild – auch, um andere Unternehmen derselben Branche zu warnen. Tun sie das nicht, drohen Bußgelder bis zu 100.000 Euro.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

Zu den kritischen Infrastrukturen rechnet das Gesetz Unternehmen im Energie- und Gesundheitsbereich, bei Wasserversorgung, Transport und Verkehr, Telekommunikation sowie im Finanz- und Versicherungswesen. Konkreter wird das Gesetz nicht. Die genaue Definition soll erst in einer Rechtsverordnung geklärt werden, an der nach Angaben des Ministeriums gearbeitet wird. Die Wirtschaft hatte sich allerdings schneller Klarheit gewünscht. Die Bundesregierung geht im Gesetzentwurf von maximal 2000 betroffenen Firmen aus. Eine Studie der Industrie hatte jedoch 20.000 Unternehmen genannt, die unter die Meldepflichten fallen könnten.

Die neuen Regeln verpflichten darüber hinaus die Telekommunikationsanbieter, ihre Kunden zu warnen, wenn sie den Missbrauch einer Webseite oder einen Angriff auf einen Computer feststellen. Sie müssen zudem nicht nur personenbezogene Daten schützen, sondern auch die Verfügbarkeit der Telekommunikations- und Datenverarbeitungssysteme gewährleisten.

Selbst kleine Unternehmen wie Pizzerien, die einen Lieferservice anbieten, müssen ihre Internetseiten nach dem Stand der Technik betreiben. Damit soll verhindert werden, dass sich Kunden etwa beim Surfen auf der Homepage mit Trojanern oder Viren infizieren. Schlimmstenfalls muss der Anbieter Schadenersatz leisten.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

Die Wirtschaft sorgt sich nicht zuletzt um die Kosten für die geforderten Vorkehrungen, die laut einer Studie 1,1 Milliarden Euro betragen könnten. Laut Regierung führen die Neuregelungen dort zu Mehrkosten, wo bislang die IT-Sicherheit nicht im notwendigen Maß gewährleistet ist. Der Aufwand könne nicht beziffert werden. Die Wirtschaft sorgt sich zudem, ob die Anonymität der Angaben wirklich gewährleistet ist. Würden die Meldungen über Cyberattacken öffentlich, könnte dies das Kaufverhalten von Kunden oder gar Entscheidungen von Aktionären beeinflussen.

Das Gesetz wurde mit den Stimmen der Regierungskoalition beschlossen, Linke und Grüne stimmten dagegen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%