Friedrich erwägt neues IT-Sicherheitsgesetz

Der Minister führt derzeit Gespräche mit verschiedenen Branchen zu dem Thema. Dabei will er sich ein Bild über Stärken und Schwächen vorhandener Sicherheitskonzepte machen. Vor allem gehe es um die Ausarbeitung und Einhaltung notwendiger Sicherheitsstandards: "Viele Branchen verfügen bereits über eigene IT-Sicherheitskonzepte. Aber möglicherweise gibt es noch die eine oder andere Lücke, die wir schließen müssen." Der Innenminister kündigte daher: "Ob wir ein neues IT-Sicherheitsgesetz brauchen und mit welchen Regelungen, werde ich am Ende meiner Gespräche entscheiden."

Mängel in Sicherheitssystemen

Sicherheitsexperten zufolge werden allein Institutionen des Bundes zwischen drei bis fünf Mal pro Tag aus dem Cyberspace angegriffen. Die Aggressoren und Spione haben es vor allem auf Bereiche abgesehen, die sich mit Wirtschaft, Forschung und Innovation befassen. Sie interessieren sich für Geldflüsse, politische Strategien und technisches Know-how.

Große Sorge bereitet den westlichen Regierungen die Sicherung der kritischen Infrastruktur, darunter Energienetze, Bank- und Geldsysteme sowie die Telekommunikation. Seit Jahren rüsten die Regierungen ihre staatlichen Abwehrzentren gegen Cyber-Angriffe auf. Bei den Unternehmen gibt es nach Einschätzung von Experten eine große Dunkelziffer, da diese sich oft scheuen, öffentlich Mängel im Sicherheitssystem einzuräumen.

Meldepflicht für IT-Sicherheitsvorfälle

"Wir müssen alle Unternehmen in die Betrachtung einbeziehen, die eine systemische Funktion haben und über eine kritische Infrastruktur verfügen, etwa im Bereich der Stromversorgung und Kommunikation oder im Bereich von Finanzwirtschaft und Logistik", sagte Friedrich und forderte, den Behörden müssten in Zukunft "schwere Cyber-Angriffe und weitreichende IT-Sicherheitsvorfälle gemeldet werden".

Der "Bild"-Zeitung zufolge hat es bereits ein gemeinsames Manöver von Bund und Ländern gegeben, um sich gegen die Attacken aus dem Netz zu wappnen. Das Bundesamt für Bevölkerungsschutz bestätigte auf dapd-Nachfrage die Meldung. Danach fand die Übung 2011 statt und dauerte zwei Tage an. Sie hatte einen Vorlauf von 18 Monaten. Beteiligt waren nach Auskunft einer Sprecherin mehrere Bundesländer sowie zahlreiche Behörden, aber auch die Europäische Zentralbank und die Deutsche Bank. Bei der Übung wurde ein konkretes Szenario durchgespielt: die Bedrohung der IT-Sicherheit in Deutschland durch eine fiktive "Hacktivistengruppe", die eine multifunktionale Schadsoftware verbreitet hat.