Grünes Licht für IT-Sicherheitsgesetz

Berlin: (hib/STO) Der Innenausschuss hat den Weg für das von der Bundesregierung angestrebte IT-Sicherheitsgesetz freigemacht. Gegen die Stimmen der Opposition verabschiedete das Gremium mit der Koalitionsmehrheit den entsprechenden Gesetzentwurf der Bundesregierung (18/4096) in modifizierter Fassung. Zuvor hatte der Ausschuss mit dem gleichen Stimmenverhältnis einen von der CDU/CSU- und der SPD-Fraktion vorgelegten Änderungsantrag angenommen.

Ziel des Gesetzesentwurfes ist es, die Sicherheit informationstechnischer Systeme (IT-Systeme) in Deutschland verbessern. Die Vorlage enthält unter anderem Anforderungen an die IT-Sicherheit sogenannter „Kritischer Infrastrukturen“, also der Einrichtungen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. Deren Betreiber sollen dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Die beim BSI zusammenlaufenden Informationen sollen dort ausgewertet und den Betreibern zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt werden. Die Betreiber leisteten insoweit durch die Meldepflicht einen eigenen Beitrag zur IT-Sicherheit und bekämen „ein Mehrfaches an Informationen und Know-how zurück“, heißt es in der Vorlage. Gleichzeitig werde die Beratungsfunktion des BSI in diesem Bereich gestärkt.

Um den Schutz der Bürger zu verbessern, sollen die Telekommunikationsanbieter laut Entwurf verpflichtet werden, IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen informieren, die durch Schadprogramme auf den datenverarbeitenden System der Nutzer hervorgerufen werden.

Ferner soll der Anteil des BSI an der Erstellung des Sicherheitskatalogs für Telekommunikationsnetzbetreiber der Vorlage zufolge ausgebaut werden. Zudem soll das Bundeskriminalamt „im Bereich Cyberkriminalität angesichts der zunehmenden Zahl von IT-Angriffen gegen Bundeseinrichtungen und gegen bundesweite Kritische Infrastrukturen in seinen Rechten gestärkt“ werden.

Mit dem Änderungsantrag sollen die Betreiber kritischer Infrastrukturen bei der Sicherung ihrer Systeme, Komponenten und Prozesse stärker als bisher auf die Einhaltung des Standes der Technik verpflichtet werden. Ferner sollen dem Antrag zufolge in dem Gesetz unter anderem Bußgeldvorschriften festgeschrieben werden.

Die CSU/CSU-Fraktion wertete den Gesetzentwurf als „wichtigen Schritt zur Verbesserung der IT-Sicherheit in Deutschland“. Sie verwies auf die Notwendigkeit, mehr zum Schutz der IT-Infrastruktur zu unternehmen. Dabei konzentriere man sich in dem Gesetzentwurf auf die kritische Infrastruktur.

Die SPD-Fraktion sprach von einem „guten Gesetz“, das europaweit sehr beachtet werde, weil Deutschland als eines der ersten Länder diesen Weg gehe. Sie hob zudem hervor, dass der Änderungsantrag auch eine Evaluation der Neuregelung nach vier Jahren unter Einbeziehung eines wissenschaftlichen Sachverständigen vorsieht.

Die Fraktion Die Linke plädierte dafür, in das Gesetz ein „Verbot des kommerziellen Handels mit Sicherheitslücken“ aufzunehmen. Ein grundsätzliches Problem sei, wie man das BSI „aufstellen“ wolle. Es stelle sich die Frage, ob das Bundesamt nicht „unabhängig gestellt“ werden solle.

Die Fraktion Bündnis 90/Die Grünen forderte die schwarz-rote Koalition auf, den Gesetzentwurf noch einmal zu überdenken. Der Begriff „IT-Sicherheitsgesetz“ sei eine „Falsch-Etikettierung“ der Vorlage. Deren Vorschriften reichten zur Lösung des Problems nicht aus. Auch komme der Gesetzentwurf mindestens fünf Jahre zu spät.