IT-Sicherheit:

Bund plant Gütesiegel und Meldepflicht

image-from-rawpixel-id-356967-1500x984
Foto: Rawpixel | Free Collection

Der Entwurf für das IT-Sicherheitsgesetz 2.0 nimmt offenbar konkrete Formen an. Nun liegt ein Eckpunktepapier vor, über das die ARD berichtet. Demnach geht es um vier zentrale Bereiche: Erstens sollen Computerstraftaten besser geahndet werden können, zweitens soll die Wirtschaft zur Meldung von Cyberangriffen verpflichtet werden, drittens die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet und viertens ein Gütesiegel für IT-Produkte eingeführt werden.

Das Innenministerium (BMI) hatte bereits angekündigt, auf den Anfang des Jahres bekannt gewordenen Doxing-Fall zu reagieren, bei dem ein Schüler aus Hessen Daten von fast 1000 Politikern, Journalisten und Prominenten ins Netz gestellt hatte. Nun soll das Strafrecht laut ARD so angepasst werden, “dass schwere Fälle von Computerstraftaten, wie etwa Angriffe gegen Unternehmen der kritischen Infrastruktur oder im Auftrag einer ‘fremden Macht’, im Gesetz klarer definiert und im Rahmen von Ermittlungsverfahren besser geahndet werden können”. Provider sollen demnach “verpflichtet werden, Daten zu löschen, die aus Straftaten herrühren”. Provider sollen Cybercrime-Verdachtsfälle melden, ausländische Internetdienstleister Kontaktstellen einrichten müssen.

BSI soll Weisungsrechte bekommen

Das BSI soll künftig die Rolle einer “Ordnungsbehörde” einnehmen, also so gestärkt werden, dass es “zum Beispiel auch Ordnungswidrigkeiten nachgehen und Bußgelder verhängen kann”, zitiert die ARD aus dem Eckpunktepapier. Das Amt soll demnach “in besonderen Gefahrenlagen” mehr “Weisungsrechte” bekommen – vor allem gegenüber all den Unternehmen, die zur kritischen Infrastruktur gehören.

Jedoch sollen künftig auch Unternehmen, die nicht zur kritischen Infrastruktur gehören, Hackerangriffe beim BSI melden müssen. So könne das BSI besser Rückschlüsse ziehen und andere Unternehmen vor ähnlichen Angriffen warnen. Aus Sorge vor einem möglichen Imageschaden halten sich die Unternehmen bisher damit zurück, doch macht eine solche Pflicht Sinn angesichts der zunehmenden Vernetzung von Geräten – denn von autonom fahrenden Autos über Smart-Home-Anwendungen hin zu Medizintechnik wird es künftig kaum einen Lebensbereich geben, der nicht mit dem Internet verbunden ist.

Streit um geplantes Gütesiegel

Angedacht ist offenbar eine gemeinsame Datenbank für Staat und Wirtschaft, über die IT-Sicherheitsvorfällen erfasst werden sollen. Auch das bereits seit längerem geplante Gütesiegel wird demnach wohl kommen. Danach soll das BSI Mindestanforderungen an die Sicherheit von IT-Produkten formulieren und diese dann auf Basis der Kriterien zertifizieren. Kürzlich hatte dazu im Bundesjustizministerium (BMJV) ein Runder Tisch stattgefunden, zu dem BMJV und BMI Vertreter aus Regierung, Wirtschaft und Zivilgesellschaft eingeladen hatten.

Der Chaos Computer Club (CCC) kritisiert die Pläne für das Gütesiegel. Die Vorgaben für die Hersteller seien nicht verpflichtend, weshalb diese selbst entscheiden könnten, ob sie sich an die Richtlinie halten oder nicht, sagte Linus Neumann vom CCC der ARD. Nur wenn es einheitliche EU-Vorgaben gäbe, könnte das BSI sie für die Hersteller verpflichtend einführen. Weiter fordert der CCC, dass Hersteller zu Updates verpflichtet werden sollten und haften müssten. Sollten Geräte nicht mehr reparierbar sein, sollte es auch die Möglichkeit geben, das betroffene Produkt aus dem Verkehr zu ziehen.

Das BSI wollte sich auf Anfrage von Tagesspiegel Background nicht zu diesen Vorhaben äußern. Auch ein Sprecher des BMI teilte mit, interne Papiere und Überlegungen nicht kommentieren zu wollen. Der entsprechende Referentenentwurf zum IT-Sicherheitsgesetz werde aber derzeit im BMI abgestimmt, im Sommer soll das Gesetz dann vom Kabinett beschlossen werden.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel BACKGROUND Digitalisierung & KI auf UdL Digital.