Kritik an Gesetzesplänen

Besserer Schutz sensibler IT-Systeme

20.03.2015
Wenn Hacker die Computersysteme von Energieversorgern oder Banken angreifen, kann das dramatische Folgen haben. Innenminister de Maizière will solche sensiblen Netze besser schützen. Die Opposition findet die Gesetzespläne aber schlecht gemacht.

Bundesinnenminister Thomas de Maizière (CDU) hält einen besseren Schutz sensibler Computersysteme in Deutschland für unverzichtbar. "Der technische Fortschritt hat uns auch verwundbarer gemacht", sagte de Maizière am Freitag bei der ersten Beratung über das geplante IT-Sicherheitsgesetz im Bundestag. Gerade kritische Infrastrukturen, die etwa die Energie- oder Gesundheitsversorgung gewährleisteten, müssten störungsfrei funktionieren. Linke und Grüne beklagten, die Idee des besseren Schutzes sei zwar gut, die Umsetzung im Gesetzentwurf (PDF-Link) jedoch mangelhaft. Auch Fachleute haben Einwände.

Bundesinnenminister Thomas de Maiziere (CDU)
Bundesinnenminister Thomas de Maiziere (CDU)
Foto: Peter Lorenz

Die Bundesregierung will dafür sorgen, dass beispielsweise Krankenhäuser, Banken und Energieversorger ihre Computersysteme besser gegen Cyberangriffe schützen. Mit dem IT-Sicherheitsgesetz sollen Firmen aus sensiblen Bereichen verpflichtet werden, Attacken auf ihre IT-Systeme unverzüglich zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen. Die Unternehmen sollen Mindeststandards zur IT-Sicherheit für ihre Branche festlegen.

Firmen, die einen Online-Shop oder andere Internet-Dienste betreiben, sollen verpflichtet werden, ihre Angebote nach dem Stand der Technik zu sichern. So soll verhindert werden, dass Nutzer sich beim Surfen Computerviren oder Trojaner einfangen. Außerdem ist für die zuständigen Sicherheitsbehörden mehr Personal eingeplant.

De Maizière sagte, es gehe darum, notwendige Sicherheitsvorkehrungen in die digitale Welt zu übertragen. "Wir wollen die deutschen IT-Systeme zu den sichersten in der Welt machen", betonte er. Das Gesetz sei dazu ein wichtiger Schritt. Auch auf EU-Ebene seien Mindestanforderungen für Betreiber kritischer Infrastrukturen geplant. Die Arbeit an einer EU-Richtlinie dazu laufe noch. Deutschland warte jedoch nicht, bis Europa dazu Vorgaben mache, sondern setze die Anforderungen schon vorab um.

Die Opposition ist jedoch unzufrieden. Das Gesetz sei grundsätzlich eine gute Idee, sagte Linksfraktionsvize Jan Korte. Er schränkte aber ein: "Die Ausführung, wie Sie es angehen, ist leider mangelhaft." Es fehle eine Bestandsaufnahme der tatsächlichen Gefahren (PDF-Link). Auch der Datenschutz komme zu kurz. Beim Plus an Personal würden vor allem die Sicherheitsbehörden bedacht, die Bundesdatenschutzbeauftragte bekomme dagegen nur zwei bis sieben Stellen zusätzlich.

Der Grünen-Innenpolitiker Konstantin von Notz beklagte, Firmen sollten in die Pflicht genommen werden, Behörden dagegen nicht. "Vor der eigenen behördlichen Haustür wird nicht gekehrt", kritisierte er. Der Gesetzentwurf bleibe an vielen Stellen außerdem ungenau. Es sei auch abwegig, dass Deutschland gerade beim Thema IT-Sicherheit einen nationalen Sonderweg einschlage.

Auch von Experten kam zuletzt Kritik. In einem Gutachten für den Cyber-Sicherheitsrat Deutschland hatte der Rechtsanwalt und frühere Hamburger Innensenator Christoph Ahlhaus (CDU) mehrere verfassungsrechtliche Bedenken aufgelistet (PDF-Link). Einer der Einwände ist, dass Bundesbehörden von den Pflichten ausgenommen würden. (dpa/tc)