Berlin | Bundesinnenminister Thomas de Maizière (CDU) will erstmals einen Sicherheits-TÜV für die IT-Sicherheit in Deutschland einführen. Unternehmen sollen künftig binnen zwei Jahren „angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen“ zum Schutz ihrer IT-Systeme treffen, die für deren Funktionsfähigkeit maßgeblich sind, heißt es in dem der „Welt“ vorliegenden Entwurf für ein IT-Sicherheitsgesetz. Die Firmen sollen „mindestens alle zwei Jahre“ nachweisen, dass sie die Anforderungen erfüllen.
Die Maßnahme ist Teil einen Gesamtpakets, mit dem de Maizière erstmals verbindliche Mindeststandards für die IT-Sicherheit der Wirtschaft und eine Meldepflicht für Cyberangriffe einführen will. Zentrale Meldestelle wird demnach das ihm unterstehende Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Betreiber sogenannter kritischer Infrastrukturen, etwa bei Energiekonzernen, sollen verpflichtet werden, Ausfälle oder Beeinträchtigungen ihrer Systeme „unverzüglich“ an das BSI zu melden.
Die Behörde kann gegebenenfalls auch eine sofortige Beseitigung von Sicherheitsmängeln verlangen. Zur kritischen Infrastruktur werden laut Entwurf Unternehmen aus den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gezählt, die „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden“. Bei Schäden von erheblicher Schwere sollen die Konzerne künftig die Angriffe veröffentlichen.
Das IT-Sicherheitsgesetz ist ein wichtiger Baustein der sogenannten Digitalen Agenda 2014 bis 2017 der Bundesregierung. De Maizière wird sie gemeinsam mit seinen Kollegen Alexander Dobrindt (CSU, Verkehr) und Sigmar Gabriel (SPD, Wirtschaft) am Mittwoch in Berlin vorstellen. Die Agenda gilt als Schlüsselprojekt der Großen Koalition, mit dem sie Deutschland zum digitalen Wachstumsland Nummer eins in Europa machen will.
Der Gesetzentwurf sieht dem Zeitungsbericht zufolge auch vor, die Zuständigkeit des Bundeskriminalamts (BKA) zu erweitern, sofern sich Cyberangriffe gegen die „innere und äußere Sicherheit“ Deutschlands oder „sicherheitsempfindliche Stellen und lebenswichtige Einrichtungen“ richten. Das BKA soll 108 zusätzliche Stellen erhalten, die Kosten werden mit jährlich 7,3 Millionen Euro beziffert. Auch für das BSI ist mehr Personal geplant: 133 zusätzliche Stellen (8,8 Millionen Euro im Jahr). Ferner sind im Bundesamt für Verfassungsschutz 55 neue Stellen geplant (rund 4,5 Millionen Euro). Die Regierung will das IT-Sicherheitsgesetz noch in diesem Jahr verabschieden. Die Wirtschaft begrüßt das Ziel, die Sicherheit vor Cyber-Angriffen zu erhöhen. Matthias Wachter, Abteilungsleiter Sicherheit und Rohstoffe beim Bundesverband der Deutschen Industrie (BDI), sieht in dem Entwurf „eine deutliche Verbesserung zum alten Entwurf aus dem Jahr 2013“. Der „Welt“ sagte Wachter: „Dies trifft insbesondere auf die vorgesehene Anonymisierung von einem Großteil der geforderten Meldungen zu.“ Der BDI schlägt darüber hinaus aber die Möglichkeit vor, dass Unternehmen bei Schädigungen nicht namentlich in Erscheinung treten müssen. Hintergrund ist, dass die Industrie Ansehensverluste fürchtet, wenn Unternehmen als Opfer von Cyberangriffen in der Öffentlichkeit auftauchen. Zudem spricht sich der BDI dafür aus, dass entsprechende Meldepflichten und Sicherheitsstandards auch für staatliche Stellen gelten sollen.
Autor: dts
