Hände auf einer Computer-Tastatur | Bildquelle: dpa

Bundestag debattiert Entwurf IT-Sicherheitsgesetz - "zahnloser Tiger"

Stand: 20.03.2015 11:00 Uhr

"Der technische Fortschritt hat uns auch verwundbarer gemacht", hat Innenminister de Maizière im Bundestag betont. Deswegen sollen für Firmen bundesweite Standards in der IT gelten. Kritikern geht der Gesetzentwurf jedoch nicht weit genug.

Von Barbara Schmickler, tagesschau.de

"Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme" - so heißt der Gesetzentwurf von Innenminister Thomas de Maizière für das neue IT-Gesetz. Der Bundestag hat darüber in erster Lesung beraten. Während die Bundesregierung Deutschland damit zum Vorreiter in Sachen digitaler Sicherheit machen will, sehen Experten das Gesetz sehr skeptisch.

Ein Foto von Sebastian Schreiber. Er kennt sich aus mit IT - er ist Berufs-Hacker.
galerie

Sebastian Schreiber ist Berufs-Hacker.

"Wir werden in unterschiedlichen Lebensbereichen immer mehr von IT abhängig, daher ist ein neues Gesetz wichtig", sagt Sebastian Schreiber. Der Berufs-Hacker hackt sich in die IT-Systeme seiner Kunden und zeigt dadurch Schwachstellen in deren IT-Infrastruktur auf. Die Angriffe auf Sony, Microsoft und das Kanzleramt hätten gezeigt: Der Cyberspace sei der Wilde Westen, Hacker gingen ein und aus, und in den vergangenen Monaten seien die Bedrohungen stärker geworden, so Schreiber.

"Kritische Infrastrukturen"

Das Gesetz soll regeln, welchen Anforderungen die IT-Sicherheit bestimmter Einrichtungen standhalten muss. Dabei geht es um sogenannte kritische Infrastrukturen - also Einrichtungen, "die für das Funktionieren unseres Gemeinwesens zentral sind", wie es im Entwurf heißt. Darunter fallen Anlagen aus den Bereichen Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Berichten zufolge soll das rund 2000 Unternehmen einschließen. Welche genau, soll noch in einer Rechtsverordnung bestimmt werden.

Die Betreiber dieser "kritischen Infrastruktur" sollen dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten. Kommt es zu einem Sicherheitsvorfall, muss dieser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Das BSI soll die Einrichtung werden, bei der die Informationen gesammelt werden.

Neue Stellen und neue Kosten

Der Gesetzentwurf sieht vor, dass das Bundeskriminalamt (BKA) angesichts der "zunehmenden Zahl von IT-Angriffen gegen Bundeseinrichtungen und gegen bundesweite Kritische Infrastrukturen in seinen Rechten gestärkt" wird. Das bedeutet für BSI und BKA mehr Personal: 294 Stellen sollen maximal neu geschaffen werden - 216 beim BSI und 78 beim BKA.
Das Gesetz kostet: Einer Studie des Bundesverbands der Deutschen Industrie (BDI) aus dem vergangenen Sommer zufolge bringt die geplante Ausgestaltung der Meldepflicht Bürokratiekosten in Höhe von rund 1,1 Milliarden Euro pro Jahr mit sich.

"Staat wird zum Datensammler"

Der Staat werde zum Datensammler, warnt Schreiber. Denn: "Was mit den Daten passiert, ist unklar", sagt er. "Große Datenmengen wecken immer Begehrlichkeiten", sagt er.

Das Gesetz regle zudem nicht genau, welche Vorfälle gemeldet werden müssten und welche nicht. Außerdem gebe es keine Sanktionen, wenn die Meldepflicht nicht eingehalten werde, kritisiert Schreiber.

Arne Schönbohm, Präsident des von zahlreichen Unternehmen getragenen Cyber-Sicherheitsrats, bemängelt, dass nicht klar sei, was passiert, wenn ein Cyberangriff gemeldet wurde.

Meldepflicht für alle als Lösung?

Markus Beckedahl | Bildquelle: dpa
galerie

Das neue Gesetz sei vor allem "Placebo", kritisiert Markus Beckedahl.

Die Hoffnung auf "Selbstregulation" werde nicht funktionieren, warnt Markus Beckedahl, Gründer des Blogs Netzpolitik.org. Das Gesetz sei vor allem "Placebo". Beckedahl fordert, die Meldepflicht auf alle Unternehmen auszuweiten, nicht nur auf die als kritisch eingestuften: "Es kann nicht sein, dass Unternehmen mit Millionen hochsensibler Kundendaten Vorfälle nicht melden müssen."

Er macht sich deswegen für mehr Transparenz stark. Für Unternehmen sei es derzeit oft billiger, einzukalkulieren, dass etwas schief gehe, als in IT-Sicherheit zu investieren. Gäbe es einen Veröffentlichungszwang, müssten die Unternehmen die IT-Sicherheit miteinplanen.

Hackerangriffe als Tabuthema

Derzeit sind Hackerangriffe oft ein Tabuthema. Das dürfe nicht sein, sagt Schreiber und verweist auf den großen Angriff auf Sony. Der sei als einer der wenigen öffentlich geworden und habe gezeigt, dass auch große Unternehmen davor nicht sicher sind. Mit dem Gesetz, so hofft Schreiber, nehme auch die Sensibilisierung für IT-Sicherheit zu. Hier gibt er dem Gesetz sogar eine Eins plus als Schulnote.

Hohe Dunkelziffer

Aktuell vermutet Schreiber, dass viele Unternehmen gar nicht wüssten, wenn sie Opfer eines Hackerangriffs geworden sind. Und wenn doch, so mutmaßt er, dass die entsprechenden Informationen nicht unbedingt an die Chefetage oder gar an die Öffentlichkeit weitergegeben werden. Denn welches Unternehmen hat Interesse daran, dass dies öffentlich wird? Schreiber geht daher von einer hohen Dunkelziffer aus: "Ich vermute, es werden weniger als ein Prozent der Fälle gemeldet werden."

Und der Bürger? Den will die Politik natürlich auch besser vor Cyberkriminalität schützen. Betreiber von Webseiten und Providern sollen verpflichtet werden, IT-Sicherheit "nach dem Stand der Technik" zu gewährleisten. Was das konkret heißt, lässt der Entwurf offen. Und ob die Bürger erfahren, dass ihre Daten bei einem Hackerangriff geklaut wurden - daran glaubt Beckedahl nicht. Das Gesetz jedenfalls zwingt die Unternehmen nicht zu einer Offenlegung.

Gesetz nicht verfassungskonform?

Der Cyber-Sicherheitsrat, dem nach eigenen Angaben Unternehmen, politische Entscheidungsträger und Bundesländer angehören, hat außerdem verfassungsrechtliche Bedenken gegen die Pläne für das Gesetz. In einer tagesschau.de vorliegenden gekürzten Fassung eines Rechtsgutachtens des Juristen und früheren Hamburger Bürgermeisters Christoph Ahlhaus werden mehrere Punkte des Gesetzes als bedenklich eingestuft. Zum Beispiel, "dass Bundesbehörden nicht von der gesetzlichen Definition Kritischer Infrastrukturen erfasst werden und auch im Übrigen keinen vergleichbaren Pflichten zum Schutz ihrer Informationstechnik unterliegen".

Besonders kritisch sei, dass die Behörden des Bundes keinen vergleichbaren Schutz vor Cyberattacken gewährleisten sollten wie private Infrastrukturen, beklagt Verbandspräsident Arne Schönbohm. Wenn sich der Bund aus den Verpflichtungen für mehr Cybersicherheit ausnehme, sei eine effektive Abwehr von Gefahren nicht gewährleistet.

Das Gutachten hat der Verband an die zuständigen Ministerien weitergeleitet. Schönbohm fordert, der Staat müsse mit gutem Beispiel vorangehen. Ein seiner Meinung nach nicht verfassungskonformer Gesetzentwurf des Innenministeriums - dafür gibt es von ihm eine glatte Fünf - "Mangelhaft".

Bundesregierung plant Einführung von Mindeststandards
tagesschau 12:00 Uhr, 20.03.2015, Michael Stempfle, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Innenminister: "Vorreiter und Vorbild"

Für die Bundesregierung ist das IT-Sicherheitsgesetz eines der ersten konkreten Ergebnisse in Umsetzung der digitalen Agenda der Bundesregierung. Bei der Vorstellung des Gesetzes Ende vergangenen Jahres sagte de Maizière: "Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild."

Das Gesetz leiste seinen Beitrag dazu, "dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören". Das sieht Schreiber anders: Bei der Digitalisierung hinke Deutschland hinterher. Müsste er der Bundesregierung ein Zeugnis ausstellen - für den Gesetzentwurf gäbe es von Schreiber ein "Gut" bis "Befriedigend". Denn immerhin die Stoßrichtung sei "klasse". Beckedahl hingegen bezeichnet das Gesetz als eine vertane Chance und einen "zahnlosen Tiger". Sein Fazit: Ein "Ausreichend bis Ungenügend".

Darstellung: