Entwurf für IT-Sicherheitsgesetz beschlossen

Mit dem Gesetz verfolgt die Regierung vor allem zwei Ziele: IT-Sicherheitsvorfälle wie beispielsweise Denial-of-Service-Attacken müssen in Zukunft gemeldet und „IT-Mindeststandards“ insbesondere bei kritischer Infrastrukturen eingehalten werden. Für diese Mindestanforderungen wurde lediglich ein Rahmen vorgegeben, der nun von den betroffenen Verbänden zusammen mit dem BSI gefüllt werden soll. Die Betreiber kritischer Infrastrukturen werden zudem verpflichtet, die Einhaltung der Sicherheitsstandards alle 2 Jahre durch Audits nachzuweisen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll dabei die Aufgabe einer internationalen Zentralstelle für IT-Sicherheit übernehmen und entsprechend ausgebaut werden. Die Zuständigkeit des Bundeskriminalamts wird bundesweit um Cyberdelikte erweitert.

Im Vorfeld umstritten waren vor allem Passagen im ursprünglichen Gesetzesentwurf, in denen Kritiker eine Möglichkeit zur "verdachtslosen Aufzeichnung des Surfverhaltens" ausgemacht haben. Inhalte sollten bis zu sechs Monate archiviert und ausgewertet werden könnten. Diese Klauseln wurden jedoch wieder gestrichen.

Zudem hat das Kabinett im Regierungsentwurf eine Ergänzung des Telekommunikationsgesetzes beschlossen: TK-Betreibern wird darin eine Informationspflicht gegenüber Nutzern über Störungen auferlegt, die von deren Systemen insbesondere durch Bot-Netzen ausgehen – jedoch mit einer wichtigen Einschränkung: Da der Provider Verbindungs- und Standortdaten bei unbekannten Anwendern umfangreich erheben müsste, um einen Betroffenen zu ermitteln, soll die Informationspflicht nur noch greifen, wenn der Anbieter den Anwender bereits kennt.

Unternehmen sollten vor dem Hintergrund der neuen Gesetzgebung sehr zeitnah die eigenen Standards überprüfen und etwaige Anpassungen an der ITK-Compliance vornehmen.