Entwurf für IT-Sicherheitsgesetz beschlossen

Erstellt von Baker Tilly | |  IT-Compliance

Die Bundesregierung hat den Gesetzentwurf zur "Erhöhung der Sicherheit informationstechnischer Systeme" verabschiedet und damit auch die zunächst noch offene gelassene Hintertür zur Vorratsdatenspeicherung geschlossen. Mit dem neuen Gesetz soll vor allem der Schutz kritischer Infrastrukturen wie Energie- oder Telekommunikationsnetze sowie von IT-Systemen erhöht werden.

Mit dem Gesetz verfolgt die Regierung vor allem zwei Ziele: IT-Sicherheitsvorfälle wie beispielsweise Denial-of-Service-Attacken müssen in Zukunft gemeldet und „IT-Mindeststandards“ insbesondere bei kritischer Infrastrukturen eingehalten werden. Für diese Mindestanforderungen wurde lediglich ein Rahmen vorgegeben, der nun von den betroffenen Verbänden zusammen mit dem BSI gefüllt werden soll. Die Betreiber kritischer Infrastrukturen werden zudem verpflichtet, die Einhaltung der Sicherheitsstandards alle 2 Jahre durch Audits nachzuweisen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll dabei die Aufgabe einer internationalen Zentralstelle für IT-Sicherheit übernehmen und entsprechend ausgebaut werden. Die Zuständigkeit des Bundeskriminalamts wird bundesweit um Cyberdelikte erweitert.

Im Vorfeld umstritten waren vor allem Passagen im ursprünglichen Gesetzesentwurf, in denen Kritiker eine Möglichkeit zur "verdachtslosen Aufzeichnung des Surfverhaltens" ausgemacht haben. Inhalte sollten bis zu sechs Monate archiviert und ausgewertet werden könnten. Diese Klauseln wurden jedoch wieder gestrichen.

Zudem hat das Kabinett im Regierungsentwurf eine Ergänzung des Telekommunikationsgesetzes beschlossen: TK-Betreibern wird darin eine Informationspflicht gegenüber Nutzern über Störungen auferlegt, die von deren Systemen insbesondere durch Bot-Netzen ausgehen – jedoch mit einer wichtigen Einschränkung: Da der Provider Verbindungs- und Standortdaten bei unbekannten Anwendern umfangreich erheben müsste, um einen Betroffenen zu ermitteln, soll die Informationspflicht nur noch greifen, wenn der Anbieter den Anwender bereits kennt.

Unternehmen sollten vor dem Hintergrund der neuen Gesetzgebung sehr zeitnah die eigenen Standards überprüfen und etwaige Anpassungen an der ITK-Compliance vornehmen.