WiWo App 1 Monat für nur 0,99 €
Anzeigen

IT-Sicherheitsgesetz Kabinett beschließt Meldepflicht für Cyberangriffe

Bundesinnenminister Thomas de Maizière sagt Hackern und Saboteuren den Kampf an. Die Wirtschaft rechnet wegen der angekündigten Meldepflicht für IT-Angriffe mit einem neuen Bürokratiemonster.

  • Artikel teilen per:
  • Artikel teilen per:
Techniken zur digitalen Selbstverteidigung
E-Mails verschlüsselnDie Technik für eine solche Verschlüsselung gibt es seit Jahren. Sie hat nur zwei Nachteile: Erstens macht es Mühe, sie zu benutzen, und zweitens muss der Empfänger dieselbe Technik einsetzen. Fakt ist, dass E-Mails grundsätzlich kein besonders sicheres Kommunikationsmedium sind, aber durch ihre weite Verbreitung unverzichtbar bleiben. Auch wenn es aufwendig klingt: Sie sollten darüber nachdenken, zumindest im Mailverkehr mit wichtigen Partnern beidseitige Verschlüsselung einzusetzen. Quelle: dpa
Verabschieden Sie sich aus sozialen NetzwerkenSoziale Netzwerke sind nicht sicher, können es nicht sein und wollen es wohl auch nicht. Deshalb muss sich jeder Nutzer darüber im Klaren sein, dass für die Nutzung von Facebook & Co. mit dem Verlust von Privatsphäre bezahlt wird. Viele Unternehmen fragen sich inzwischen: Brauchen wir das wirklich? Hier macht sich zunehmend Ernüchterung über den Nutzen sozialer Netzwerke breit. Quelle: dpa
Springen Sie aus der WolkeVermutlich sitzt die NSA zwar nicht in den Rechenzentren von Google oder Microsoft, aber sie könnte Internet-Service-Provider überwachen und damit auch Daten auf ihrem Weg in die Wolke beobachten. Unabhängig davon, was die NSA tatsächlich tut, wissen wir, dass Behörden auf Cloud-Server zugreifen können. Halten Sie Ihre Daten in einer Private Cloud oder gleich im eigenen Rechner. Zu aufwendig? Nicht zeitgemäß? Auf jeden Fall besser, als beklaut zu werden. Quelle: dpa
Schalten Sie alles Unnötige abWer Smartphones und Tablets benutzt, weiß, dass solche Geräte ständig im Hintergrund irgendwelche Kontakte und Kalender synchronisieren, Browser-Historien anlegen und viele mehr. Richtig gefährlich kann dieses ständige Sich-einwählen in Verbindung mit GPS-Daten sein. Google weiß nämlich, in welcher Bar Sie letzte Woche waren. Wichtig ist erstens, die GPS-Funktion immer wieder zu deaktivieren, zweitens in Google Maps sämtliche Funktionen, die Standorte melden und Standorte mit anderen teilen, zu deaktivieren. Quelle: dpa
Eine Methode, um Bewegungsprofile zu vermeiden, ist die Benutzung eines guten alten Navis statt eines Smartphones zur Orientierung. Navis lassen sich – anders als Telefone – auch vollkommen anonymisiert einsetzen. Quelle: REUTERS
Web-Browsing versteckenDer Einsatz eines Secure-socket layers (SSL) zur Datenverschlüsselung im Internet ist nicht völlig sicher, aber auf jeden Fall deutlich sicherer, als nichts zu tun. Eine Möglichkeit, SSL zu nutzen, ist die HTTPS Everywhere-Browsererweiterung der Electronic Frontier Foundation. Gibt es aber leider nur für Firefox und Chrome. Noch mehr Sicherheit bietet das Tor Browser Bundle, aber es kann das Surf-Erlebnis unter Umständen deutlich verlangsamen. Quelle: dpa
Keine Messages über externe ServerInstant Messaging über Google Hangouts, Skype und ähnliches landet zwangsläufig in den Händen Dritter, weil solche Nachrichten grundsätzlich nicht direkt, sondern über einen Server ausgeliefert werden. Quelle: REUTERS

Es gibt Sicherheitsgesetze, die würde auch in der Wirtschaft heute niemand mehr in Frage stellen. Das Lebensmittelrecht sorgt dafür, dass nur noch ganz selten Gammelfleisch in den Regalen der Supermärkte liegt. Und im Verkehrsrecht stellen dezidierte Regularien sicher, dass heute keine Rostlauben mehr auf den Straßen fahren und andere Autofahrer gefährden. Im Internet gibt es solch umfassende Regelwerke bisher nicht.

Im immer wichtiger werdenden Nervensystem von Wirtschaft und Gesellschaft kann im Prinzip jeder machen, was er will – mit dramatischen Folgen für die Sicherheit der Nutzer. Die vielen Schwachstellen und Unvollkommenheiten in den IT-Systemen sind verantwortlich dafür, dass Geheimdienste, Hacker und gut organisierte kriminelle Banden eine virtuelle Schattenwelt aufbauen und durch Datendiebstahl und Sabotageakte Schäden in Milliardenhöhe verursachen.

Welche Sicherheitsmaßnahmen die Unternehmen verstärken

Die Bundesregierung will solche Wildwest-Methoden nicht länger tolerieren. Als erstes Maßnahmenpaket aus der kürzlich verabschiedeten Digitalen Agenda beschloss heute das Bundeskabinett den seit langem diskutierten Entwurf eines IT-Sicherheitsgesetzes.

Vorrangiges Ziel: Mindeststandards für die Betreiber kritischer Infrastrukturen und anderer lebenswichtiger Funktionen des Gemeinwesens. Darunter fällt zum Beispiel eine Meldepflichte für Cyberangriffe in den betroffenen Unternehmen.

Der vom Kabinett in Berlin beschlossene Entwurf unterscheidet sich in einigen Punkten deutlich von den ursprünglichen Plänen aus dem Haus von Bundesinnenminister Thomas de Maizière. Wie bereits bekannt wurde, entfällt zum Beispiel die umstrittene Dauerspeicherung von Nutzerdaten durch Telemediendienste.

Gesetz ist in der Wirtschaft umstritten

De Maizière will verhindern, dass Hacker in die Energie- und Telekommunikationsnetze eindringen und durch Sabotageakte die gesamte Republik lahmlegen. In der inzwischen völlig vernetzten Gesellschaft würde solch ein Blackout das gesamte Wirtschafts- und Gesellschaftsleben von einer Sekunde zur anderen zum Stillstand bringen.

„Die IT-Sicherheitslage ist weiterhin angespannt“, sagte de Maizière bei der Präsentation des neuen Gesetzentwurfes. „Die Angriffe erfolgen zunehmend zielgerichteter und sind technologisch immer ausgereifter und komplexer.“

Ob das Gesetz zur Entspannung der Lage beiträgt, ist in der Wirtschaft höchst umstritten. Insbesondere der Bundesverband der Deutschen Industrie (BDI) und der IT-Dachverband Bitkom protestierten im Vorfeld lautstark gegen die im IT-Sicherheitsgesetz vorgesehene Meldepflicht bei Cyberangriffen.

Eine von den Verbänden im Auftrag gegebene Studie bei der Wirtschaftsprüfungsgesellschaft KPMG ermittelte Bürokratiekosten in Höhe von 1,1 Milliarden Euro, die pro Jahr auf die Betreiber kritischer Infrastrukturen zukommen. Die Autoren der KPMG-Studie schätzen, dass nach Inkrafttreten des Gesetzes im Sommer nächsten Jahres 2,3 Millionen Sicherheitsvorfälle pro Jahr an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Wachsende Zahl der Unternehmehen in kritischer Infrastrukturen

Das Bundesinnenministerium geht von deutlich weniger meldepflichtigen Vorfällen aus. Nach internen Schätzungen werden die rund 2000 Betreiber kritischer Infrastrukturen in Deutschland durchschnittlich nur sieben IT-Sicherheitsvorfälle pro Jahr melden. Das BSI müsste demnach nur 14.000 Fälle bearbeiten.

Da die Bearbeitungskosten pro Meldung bei 660 Euro liegen, kommen nach Berechnungen des Ministeriums lediglich Meldekosten in Höhe von 9,2 Millionen Euro auf die Unternehmen zu. Im Vergleich zu den Milliardenschäden, die Cyberangriffe jedes Jahr verursachen, wären die Meldekosten fast schon zu vernachlässigen.

Trends im Datenschutz

Allerdings weitet sich der Kreis der meldepflichtigen Unternehmen mit Inkrafttreten des Gesetzes deutlich aus. Betroffen sind nicht mehr allein die Betreiber von Telekommunikations- und Energienetzen. Auch die Logistik-Branche (Transport von Gütern und Personen), der Gesundheitssektor (Arzneimittel, Labore), der Lebensmittelhandel, die Mineralölindustrie sowie das gesamte Finanz- und Versicherungswesen zählt die Bundesregierung zu den kritischen Infrastrukturen.

Das heißt aber nicht, stellt das Bundesinnenministerium klar, dass jeder Gemüseladen, jede Tankstelle und jede Apotheke unter das IT-Sicherheitsgesetz fällt. Näheres soll in Verordnungen stehen, die der Minister im nächsten Jahr präsentieren will.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

In die Pflicht nimmt das Gesetz auch die Anbieter von Web-Servern. Weil sich die meisten Schadprogramme beim Anklicken von Web-Seiten und Werbebannern im Internet verbreiten, will das Bundesinnenministerium die Betreiber der Server mit verschärften Sicherheitsanforderungen zu gezielten Säuberungsaktionen zwingen.

Die größten Veränderungen kommen auf die Anbieter von IT-Produkten zu. Die BSI- Zentrale in Bonn wird mit 115 bis 216 zusätzlichen Planstellen zur zentralen IT-Sicherheitsbehörde mit zusätzlichen Kompetenzen ausgebaut. So bekommt das BSI auch das Recht für umfassende Sicherheitschecks bei allen IT-Produkten und IT-Systemen.

Die Befugnis gilt auch für Produkte, die noch gar nicht auf dem Markt sind. Umfassender als bisher soll das BSI die Öffentlichkeit über alle Sicherheitslücken und Schwachstellen in IT-Produkten aufklären. Die Unsitte der IT-Industrie, halbfertige Software oder Hardware auf den Markt zu werfen, könnte so zum Bumerang werden.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%