Blaues Schloss für Platine

Hochkomplexe IT-Systeme bestimmen zunehmend unseren Alltag. Für die meisten Menschen unsichtbar kontrollieren sie unsere Energie- und Wasserversorgung, helfen bei der Regulierung des Transport- und Verkehrswesens und sind im Finanzsektor mittlerweile von zentraler Bedeutung. Diese Liste ist selbstverständlich nicht abschließend, doch sie verdeutlicht unsere Abhängigkeit vom reibungslosen Funktionieren dieser Systeme.

Mit Hauptfokus auf den Schutz kritischer Infrastrukturen hat der Bundestag im Sommer diesen Jahres das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) verabschiedet. Das Gesetz trat am 24. Juli 2015 in Kraft und soll nach Aussage des Bundesinnenministeriums vor Allem im Rahmen der Daseinsfürsorge ein Mindestniveau an IT-Sicherheit für kritische Infrastrukturen gesetzlich verankern. Der Schutz wichtiger IT-Systeme wird übereinstimmend als eine der zentralen Herausforderungen unserer Zeit angesehen, da größere IT-Ausfälle aufgrund der enormen Wichtigkeit für das Gemeinwesen eine reale Gefahr und globale Bedrohung darstellen. Gleichzeitig soll das  Gesetz nicht nur Sicherheitslücken und Angriffsmöglichkeiten in den Systemen reduzieren, sondern zusätzlich Deutschlands Attraktivität für Unternehmen als einen der sichersten digitalen Standorte der Welt steigern.

Konkret müssen Telekommunikationsanbieter und Betreiber von Kernkraftwerken nun schwere Sicherheitsvorfälle in ihren IT-Systemen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, dessen Rolle im Zuge des IT-Sicherheitsgesetzes weiter gestärkt wurde. So darf es neben Verbesserungsvorschlägen an genannte Betreiber kritischer Infrastrukturen auch Systemhersteller in die Pflicht nehmen, Sicherheitsupdates für ihre Produkte zu entwickeln, sofern die Notwendigkeit hierfür aus Sicht des BSI besteht.

Doch nicht nur für Betreiber kritischer Infrastrukturen bringt das Gesetz Neuerungen. Auch Betreiber von Webservern werden zu einem weitergehenden Schutz von Kundendaten verpflichtet. Außerdem erhalten Telekommunikationsanbieter die Befugnis, bei Problemen, die auf einen Angriff ihrer Systeme hindeuten, die Verbindungsdaten ihrer Kunden für eine Dauer von drei Tagen bis hin zu sechs Monaten zu speichern. Diese Möglichkeit wird von vielen Datenschutzaktivisten als „Vorratsdatenspeicherung durch die Hintertür“ kritisiert. Auch aus der Wirtschaft kommt Kritik zum neuen IT-Sicherheitsgesetz: Die Umsetzung der höheren Sicherheitsstandards könnte über 1,1 Milliarden Euro kosten, was im Hinblick auf die Nutzen zum Teil als unverhältnismäßig angesehen wird.

Im Bereich der evangelischen Kirche gilt hingegen nicht das IT-Sicherheitsgesetz, sondern die IT-Sicherheitsverordnung der EKD.

Bildquellen