Cyberkriminalität, Datenschutz Entwurf für IT-Sicherheitsgesetz 2.0 beschlossen

Autor: Susanne Ehneß

Die Bundesregierung hat den von Bundesinnenminister Horst Seehofer vorgelegten Entwurf des IT-Sicherheitsgesetzes 2.0 beschlossen. Das Gesetz regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen, von Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz.

Firmen zum Thema

Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben
Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben
(© oz - stock.adobe.com)

Das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)“ ist beschlossene Sache. Für Bundesinnenminister Seehofer ist dieses Gesetz „ein Durchbruch für Deutschlands Sicherheit".

„Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum“, versichert Seehofer.

Mit der Fortschreibung des IT-Sicherheitsgesetzes wurde ein Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode umgesetzt. Das Gesetz enthält unter anderem folgende Regelungen:

Stärkung des BSI

Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden.

Zudem wird die Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.

Das BSI wird befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Portscans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).

Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.

Stärkung des Verbraucherschutzes

Der Verbraucherschutz wird in den Aufgabenkatalog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals sichtbar und nachvollziehbar macht.

Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen.

Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet.

Stärkung der unternehmerischen Vorsorgepflichten

Betreiber kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.

Die bereits für Betreiber kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.

Stärkung der staatlichen Schutzfunktion

Das Gesetz enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.

Zudem werden die Bußgeldvorschriften neu gefasst. Im Telekommunikationsgesetz wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt.

Die ursprünglich vorgesehenen Speicherpflichten für Systeme zur Angriffserkennung wurden aus dem Gesetzentwurf gestrichen.

Kritik

Der eco-Verband der Internetwirtschaft hatte im Vorfeld bemängelt, dass das Bundesinnenministerium für das knapp 100 Seiten umfassende Dokument lediglich eine Rückmeldefrist von 26 Stunden eingeräumt habe. „Es geht nur noch darum, die Entwürfe noch in diesem Jahr ins Kabinett zu bringen“, sagte der stellvertretende Vorstandsvorsitzende Klaus Landefeld. „Das ist Ausdruck bloßer gesetzgeberischer und politischer Hilflosigkeit, wie hier vor dem Ende dieser Legislaturperiode agiert wird.“ Der Appell, die Beratungen zum IT-Sicherheitsgesetz zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten, verhallte wohl ungehört.

(ID:47043309)