Internetrecht

Regierungsentwurf zum IT-Sicherheitsgesetz beschlossen

Die Bundesregierung hat nun ihren Entwurf zum neuen IT-Sicherheitsgesetz vorgelegt. Kritische Infrastrukturen, wie Stadtwerke beispielsweise, sollen mit dem Gesetz verpflichtet werden für ein Mindestmaß an IT-Sicherheit im Unternehmen zu sorgen und Angriffe oder andere Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Zusätzlich müssten bei einem erfolgten Zugriff auf die Nutzerdaten auch umgehend die Kunden informiert werden.

Das IT-Sicherheitsgesetz basiert auf eine Vielzahl von Änderungen bereits bestehender Gesetze, darunter das Gesetz über das Bundesamt in der Informationstechnik (BSI-Gesetz), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).

Im Folgenden möchten wir einmal den bedeutenden Begriff der „kritischen Infrastrukturen“ näher erläutern und einen Überblick geben, wie Unternehmen in Zukunft bei einem Angriff reagieren müssen.

Kritische Infrastrukturen

Eine Infrastruktur gilt immer dann als kritisch, wenn sie maßgeblich an der Versorgung der Bevölkerung beispielsweise mit Strom oder Wasser beteiligt ist und eine Cyberattacke entsprechend gravierende Konsequenzen für einen großen Teil der Bevölkerung hätte. Hängt die Versorgung und öffentliche Sicherheit vom Funktionieren einer Infrastruktur ab, ist diese als „kritisch“ zu qualifizieren. Folglich stuft das Gesetz folgende Sektoren als potentiell kritisch ein: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz-und Versicherungswesen.

Unternehmen müssen sich nach Angriff beim BSI melden

Unternehmen, die als kritische Infrastruktur zu qualifizieren sind, müssen sich zwingend beim Bundesamt für Sicherheit in der Informationstechnik melden, sobald ein Angriff bekannt wird. Um den Ruf der Unternehmen zu schützen, sieht das Gesetz die Möglichkeit einer anonymen Meldung vor. Erst bei einem tatsächlichen Schadenseintritt, ist das Unternehmen verpflichtet sich zu identifizieren. Die Meldung muss „Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache und der betroffenen Informationstechnik“ beinhalten.

Bei jedem Angriff?

Die Meldepflicht besteht laut Gesetz bei „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben“. Problematisch ist hier, dass die Auslegung der einzelnen Begriffe viel Spielraum lässt. Der Gesetzgeber hat bewusst unbestimmte Begriffe verwendet, um flexibel in Bezug auf zukünftige Entwicklungen zu bleiben. Das ist grundsätzlich sinnvoll, doch wo können die Unternehmen eine Grenze ziehen? Wann ist von einer potentiellen Beeinträchtigung der Funktionsfähigkeit auszugehen?

Sicher ist bis jetzt nur, dass zumindest ganz laienhafte Attacken ohne Schadensverursachung nicht von der Meldepflicht erfasst sein dürften.

Den Unternehmen verbleibt ein Zeitraum von zwei Jahren ab dem Zeitpunkt ihrer Bestimmung als kritische Infrastruktur, um gegebenenfalls ihre Systeme und Organisationsstrukturen anzupassen. In Zukunft werden die Unternehmen bestimmte Standards, die in einem „Katalog von Sicherheitsanforderungen“, der durch die Regulierungsbehörde veröffentlicht wird, einhalten müssen. Die Einhaltung dieser Standards wird regelmäßig vom BSI überprüft werden. Wichtig ist daher die genaue Dokumentierung der Umsetzung aller Sicherheitsmaßnahmen. Außerdem sollten alle Mitarbeiter für den Ernstfall geschult werden. Die besten IT-Guidelines bringen nichts, wenn diese im Falle einer Gefahr nicht korrekt umgesetzt werden.

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×