Die Bundesregierung will dafür sorgen, dass Krankenhäuser, Banken und Energieversorger ihre Computersysteme besser gegen Angriffe schützen. Dafür sollen die Unternehmen Mindeststandards für die Sicherheit ihrer IT-Systeme festlegen. Das Kabinett billigte am Mittwoch einen Entwurf des Bundesinnenministeriums für ein solches IT-Sicherheitsgesetz. Damit will die Bundesregierung der wachsenden Gefahr durch digitale Angriffe auf wichtige Wirtschaftszweige begegnen.
"Das Internet hat sich längst zu einer kritischen Infrastruktur entwickelt", sagte Bundesinnenminister Thomas de Maizière (CDU). "Das bedeutet, wenn es dort zu größeren Ausfällen kommt, wird es kritisch für unser Land." In Deutschland habe es noch keine derartigen Angriffe gegeben, sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Michael Hange. Doch aus anderen Ländern wissen man von solchen Fällen. Unternehmen aus wichtigen Wirtschaftszweigen können auch gemeinsame Standards entwickeln, die das BSI noch genehmigen muss. Zugleich sollen diese Firmen künftig Störungen und Hackerangriffe melden.
Zu den zentralen Unternehmen zählen Banken oder Wasserwerke - sie gelten als "kritische Infrastrukturen", deren Ausfall schwerwiegende Folgen hätte. Diese Regelung würde nach Schätzungen der Regierung 2000 Unternehmen betreffen, die Vorfälle künftig melden sollen. So will sich die Bundesregierung einen besseren Überblick über aktuelle Gefahren verschaffen. Die Wirtschaft hat jedoch Vorbehalte. Der Verband kommunaler Unternehmen warnte etwa, die Meldepflicht dürfe nicht zu einem "Mehr an Bürokratie" führen. Andere Unternehmen fürchten um ihren Ruf, wenn Schwachstellen oder Angriffe bekanntwerden. Daher soll eine Meldung auch möglich sein, ohne den Namen der Firma preiszugeben.
Außerdem sollen Unternehmen, die einen Online-Shop oder andere Internet-Dienste betreiben, verpflichtet werden, ihre Angebote nach dem Stand der Technik zu sichern. So soll verhindert werden, dass Nutzer sich beim Surfen Computerviren oder Trojaner einfangen. De Maizière sagte, damit würden Regeln aus der traditionellen Wirtschaft auf das Internet übertragen. "Wir verlangen von einem Supermarkt auch, dass er, wenn es friert, vor seiner Haustür streut", sagte der Minister am Mittwoch. "Im Grund holen wir nur Standards nach, die es sonst im Wirtschaftsleben längst gibt."
In einem Streitpunkt wurde der Gesetzentwurf geändert: Eine frühere Fassung hatte neue Vorgaben zur Speicherung von Surfdaten vorgesehen. Aktivisten kritisierten das scharf. Sie fürchteten eine neue Vorratsdatenspeicherung. Dieser Passus ist aus der jetzigen Fassung gestrichen worden. Netzaktivisten reagierten erfreut, die Gewerkschaft der Polizei zeigte sich dagegen ernüchtert. (dpa/mb)
Mehr zum IT-Sicherheitsgesetz und seine Folgen finden Sie hier.