IT-Sicherheitsgesetz: Unternehmen sollen Sicherheitsvorfälle melden – aber nicht an die Betroffenen

Anbieter von Telekommunikationsdiensten und kritischen Infrastrukturen sollen zukünftig IT-Sicherheitsvorfälle melden. Das geht aus dem IT-Sicherheitsgesetz hervor, das als Entwurf vom Innenministerium veröffentlicht wurde. Benachrichtigt werden sollen aber nicht die betroffenen Personen, sondern das Bundesamt für Sicherheit in der Informationstechnik.

Die Cyber-Sicherheit ist laut dem Bundesministerium des Innern „eine der zentralen Herausforderungen unserer Zeit“. Jetzt hat das Ministerium den Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme veröffentlicht. Und das will man erreichen:

Betreiber kritischer Infrastrukturen sind wegen der weitreichenden gesellschaftlichen Folgen eines Ausfalls und ihrer besonderen Verantwortung für das Gemeinwohl zu verpflichten, einen Mindeststandard an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche IT-Sicherheitsvorfälle zu melden. Die dadurch beim BSI zusammenlaufenden Informationen werden dort gesammelt und ausgewertet und die so gewonnenen Erkenntnisse den Betreibern kritischer Infrastrukturen zur Verfügung gestellt.

Meldepflicht: nur von Wirtschaft, nur an BSI

Diese Meldepflicht soll einerseits durch einen neuen Absatz im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik erreicht werden:

Betreiber kritischer Infrastrukturen haben über die Warn- und Alarmierungskontakte nach Absatz 3 schwerwiegende Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, das heißt Beeinträchtigungen, die Auswirkungen auf die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen haben können, unverzüglich an das Bundesamt zu melden.


Andererseits im Telekommunikationsgesetz:

Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat Beeinträchtigungen von Telekommunikationsnetzen und -diensten, die zu einer Störung der Verfügbarkeit der über diese Netze erbrachten Dienste oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssystemen der Nutzer oder Teilnehmer führen können und von denen der Netzbetreiber oder der Telekommunikationsdiensteanbieter Kenntnis erlangt, der Bundesnetzagentur unverzüglich mitzuteilen. Die Bundesnetzagentur unterrichtet das Bundesamt für Sicherheit in der Informationstechnik.

Eine Meldepflicht für Sicherheitsschwankungen ist sicherlich sinnvoll. Fraglich ist jedoch, warum jedoch nur das BSI informiert werden soll. Viel sinnvoller ist es doch, wenn die betroffenen Nutzer informiert werden, wenn ihre persönlichen Daten abhanden kommen. Das ist auch Bestandteil der EU-Datenschutzreform, scheint aber für das Innenministerium keine Rolle zu spielen.

Zudem richtet sich das Gesetz nur an Anbieter von „kritischen Infrastrukturen“ und „öffentlich zugänglichen Telekommunikationsdiensten“. Sich selbst nehmen die staatlichen Stellen von der Meldepflicht aus, obwohl hier ebenfalls am laufenden Band die IT-Sicherheit verletzt wird.

Neue Kompetenzen für Bundeskriminalamt

Das Bundeskriminalamt wird mit dem Gesetz neben Computersabotage auch für die Straftaten Ausspähen von Daten, Abfangen von Daten, Vorbereiten des Ausspähens und Abfangens von Daten (Hackerparagraf), Computerbetrug und Datenveränderung zuständig.

Zusätzlich zu den Fällen, in denen sich die genannten Straftaten gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland oder sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten, wird geregelt, dass die Zuständigkeit des BKA auch bei derartigen Straftaten gegen Bundeseinrichtungen gegeben ist.

Dazu soll das Bundeskriminalamt über hundert neue Stellen und mehr als sechs Millionen Euro pro Jahr bekommen:

In den Fachabteilungen des Bundeskriminalamts (BKA) entsteht durch die Erweiterung der originären Ermittlungszuständigkeit ein Ressourcenaufwand von 105 zusätzlichen Planstellen / Stellen mit jährlichen Personalkosten in Höhe von rund 6,1 Mio € sowie zusätzlichem Sachmitteln in Höhe von 680 T € im ersten Jahr.

Auch das BSI soll fast hundert neue Stellen und sechs Millionen Euro jährlich erhalten:

Für die Erfüllung der im Gesetz vorgesehenen Aufgaben besteht beim BSI damit ein zusätzlicher Aufwand von insgesamt 99 zusätzlichen Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 6.653 T€ sowie Sachkosten in Höhe von jährlich rund 6.210 T€.

Weiterer Diskussionsbedarf

Der Gesetzesentwurf wurde jetzt den anderen Ministerien und Verbänden zugeschickt, diese dürfen den jetzt kommentieren. Wirtschaftsministerium und Wirtschaftsverbänden fürchten höhere Kosten für IT-Sicherheit. Zudem haben anscheinend einige Unternehmen Angst, IT-Angriffe öffentlich zu machen, weil das zu Verlusten führen könnte. Wirtschaftsminister Philipp Rösler forderte schonmal:

„Weitere Abstimmung“ sei erforderlich, die Belange der Wirtschaft müssten Gehör finden.

Wir sehen das ähnlich, nur mit dem Interesse der Nutzer und Nutzerinnen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Interessant ist, dass das BSI schon kurz nach seiner Gründung 1991 an die Unterlagen des MfS (Stasi) ran wollte. Ein Schelm wer da …

  2. Lieber Andre, du kritisierst, dass das BMI nicht vorsieht, Nutzer über IT-Sicherheitsvorfälle zu informieren.
    Im Gesetzentwurf des BMI zum IT-Sicherheitsgesetz auf Seite 3 steht aber immerhin:
    „Außer- dem sollen Telekommunikationsanbieter betroffene Nutzer über bekannte Störungen durch Schadprogrammen auf ihren datenverarbeitenden Systemen informieren und ein- fach bedienbare Hilfsmittel für die Erkennung und Beseitigung bereitstellen. Die Unter- stützung der Nutzer soll diese in die Lage versetzen, Maßnahmen gegen Schadsoftware auf ihren datenverarbeitenden Systemen zu ergreifen, um damit einen Beitrag zur Ver- besserung der IT-Sicherheit der Netze insgesamt zu erbringen.“

    Was hälst du davon? Oder ging es dir in deiner Kritik speziell um den Aspekt der Meldepflicht für Sicherheitsschwankungen im TKG, wo die Nutzer nicht einbezogen werden?

    1. Das soll wohl heißen, dass mein Provider mir sagen soll, wenn mein Rechner verwurmt ist. Das ist kritikwürdig, weil er dazu meinen Datenverkehr überwachen muss.

      Was wir wollen ist, dass Online-Dienstleister die User Informieren, wenn die Daten der Nutzer „abhanden“ kommen.

      1. @Markus: Das ist mir bewusst, dass es um verschiedene Dinge geht. Der kleine netzpolitische Nachwuchs (ich) versucht gerade den großen Zusammenhang zu verstehen..
        @Andre: ..und bedankt sich für die Aufklärung. Gibt es unter den MdBs überhaupt jemanden, der sich schon mal getraut hat, eine solche gesetzliche Informationspflicht über gehackte Nutzerdaten zu fordern?

  3. Im Sozialgesetzbuch (SGB X) gibt es bereits eine entsprechende Regelung:

    Stellt eine in § 35 des Ersten Buches genannte Stelle fest, dass bei ihr gespeicherte besondere Arten personenbezogener Daten (§ 67 Absatz 12) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich der nach § 90 des Vierten Buches zuständigen Aufsichtsbehörde, der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen mitzuteilen. § 42a Satz 2 bis 6 des Bundesdatenschutzgesetzes gilt entsprechend.

  4. BDSG §42a: http://dejure.org/gesetze/BDSG/42a.html
    Quote:
    „§ 42a
    Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

    Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte

    1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
    2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
    3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
    4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
    unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden.“

    Besondere Daten nach §3 Abs. 9 meint:
    „Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.