Autor Thema: Bundestag beschließt IT-Sicherheitsgesetz  (Gelesen 1591 mal)

Ryu

  • Full Member
  • ***
  • Beiträge: 175
Bundestag beschließt IT-Sicherheitsgesetz
« am: 16. Jun. 2015, 10:11:00 »
Durch den Hackerangriff auf den Bundestag ist das Thema Cyberkriminalität und Internetspionage derzeit wieder in den Medien vertreten. Doch nicht nur Parlamente und Behörden sind das Ziel solcher Angriffe, auch Unternehmen. Hierbei geht es um Wirtschaftsgeheimnisse, die viel Geld wert sind. Das Ziel sind nicht nur Großunternehmen, sondern auch mittelständische Betriebe, die über entsprechendes Fachwissen verfügen. Einige Fachleute gehen davon aus, dass jedes zweite mittelständische Unternehmen schon einmal das Ziel eines derartigen Angriffes gewesen ist. Dennoch unterschätzen viele Unternehmen die Gefahr noch immer und haben relativ ungeschützte Netzwerke, wodurch sie einen Angriff auf ihr Netzwerk oftmals gar nicht bemerken. Nur selten werden erfolgreiche Angriffe bekannt, da die Firmen die schlechte Presse und das damit zurückgehende Vertrauen der Kunden fürchten.

Der Bundestag hat nun das IT-Sicherheitsgesetz verabschiedet, dass systemrelevante Unternehmen (unter anderem Stromversorger, Wasserwerke, Telekommunikationsunternehmen, Banken, Versicherungen und Rechenzentren) dazu verpflichtet einen Mindeststandard im Bereich der IT-Sicherheit einzuhalten und alle Angriffe auf ihre Netzwerke an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Sollten sie dies nicht tun drohen Strafen von bis zu 100.000 Euro. Für die Umsetzung der Mindeststandards haben die Unternehmen nun zwei Jahre Zeit. Telekommunikationsanbieter sind darüber hinaus noch dazu verpflichtet ihre Kunden über für sie relevante Vorkommnisse (zum Beispiel Datendiebstahl) zu informieren.
Angesichts des Hackerangriffs auf den Bundestag wurden auch Behörden dazu verpflichtet diese Mindeststandards einzuführen, was im Ursprünglichen Gesetzesentwurf noch nicht vorgesehen war. Allerdings sind Behörden im Gegensatz zu anderen Unternehmen nicht dazu verpflichtet Vorfälle zu melden.

Das BSI soll anhand der eingehenden Meldungen ein Bild der Lage erstellen und gegebenenfalls Warnungen an gefährdete Unternehmen herausgeben.

Viele Experten kritisieren das Gesetz jedoch, da es ihrer Meinung nach unzureichend ist. Einige Abgeordnete sind der Ansicht, dass viele Formulierungen zu Schwammig sind und es an klaren Definitionen fehlt. So gibt es im Gesetz zum Beispiel keine Angaben darüber, welche Unternehmen als systemkritisch angesehen werden.
Der Chaos Computer Club (CCC) kritisiert darüber hinaus, dass die im Gesetz festgelegten Schritte nicht dazu geeignet sind die Sicherheit der Endnutzer zu erhöhen, da dies ja auch nicht das Ziel des Gesetzes sei. Der CCC hat außerdem Zweifel daran geäußert, dass das BSI in seiner derzeitigen Form die beste Wahl für diese Aufgabe wäre. Der CCC glaubt, dass das BSI eher die innere Sicherheit als den Schutz der Unternehmen im Auge haben könnte, denn schließlich waren sie ja auch an der Entwicklung des sogenannten Bundestrojaners beteiligt.
Auch der Bundesverband der Deutschen Industrie (BDI) kritisiert das Gesetz, da die eingeführte Meldepflicht für die Unternehmen einen zusätzlichen bürokratischen Aufwand bedeuten würde.

Quellen: Tagesschau.de, n-tv.de, zeit.de, heute.de


Meiner Meinung nach ist das IT-Sicherheitsgesetz ein guter erster Schritt, aber auch nicht mehr. Natürlich ist es gut, dass Behörden und wichtige Unternehmen nun ihre Sicherheitsstandards erhöhen müssen, doch für den Bürger ändert sich zunächst nicht viel. Lediglich Telekommunikationsunternehmen sind nun dazu Verpflichtet Informationen an betroffene Kunden weiterzugeben. Als nächstes müsste ein weiteres Gesetz kommen, das alle Unternehmen dazu verpflichtet ihre Kunden über Vorfälle zu informieren. Außerdem sollten Webseitenbetreiber ebenfalls zu diesen Mindeststandards verpflichtet werden um Kunden vor Schadsoftware zu schützen. Außerdem muss der normale Internetbenutzer auf den ersten Blick erkennen können, ob eine Webseite diesen Mindestschutz bietet oder nicht. Dies könnte zum Beispiel über Zertifikate erfolgen. Natürlich würde dies nur deutsche Webseiten betreffen, es sein denn eine entsprechende Vereinbarung könnte auf EU Ebene getroffen werden.