Regierungsentwurf für IT-Sicherheitsgesetz: Kamp­f­an­sage an Hacker

2/2: Betreiber und Provider in der Pflicht

Auch Betreiber von Webseiten sowie Access-Provider sollen verpflichtet werden, einem Missbrauch ihrer Systeme durch gewisse Schutzmaßnahmen vorzubeugen, § 13 Abs. 7 Entwurf TMG. Ausgenommen sind lediglich Anbieter, die nicht kommerziell tätig sind. Den Cyberkriminellen soll ein wesentlicher Verbreitungsweg von Schadsoftware verbaut werden. Diese platzieren Computerviren oftmals auf nicht ausreichend geschützten, aber seriösen Webseiten, sodass sich Nutzer bereits infizieren können, indem sie nur die Seite aufrufen.

Im Vergleich zu einem vorigen Referentenentwurf wurde  eine Änderung im TMG gestrichen, nach der Webseitenbetreiber die Befugnis erhalten sollten,  Nutzungsdaten zu erheben und zu verwenden. Der Vorschlag war nicht nur von Datenschützern, sondern auch innerhalb der Koalition kritisch beäugt und als "Vorratsdatenspeicherung light" diskutiert worden.

Neu ist ferner, dass Telekommunikationsunternehmen in § 109a Abs. 4 Entwurf TKG gesetzlich verpflichtet werden sollen, den jeweiligen Nutzer über einen Missbrauch seines Rechners zu benachrichtigen. So greifen die Hacker bei sogenannten Denial-of-Service-Attacken auf die Ressourcen privater Anwender zurück, um ihre eigentlichen Opfer gezielt mit Anfragen zu überlasten. Sofern ein Provider diesen Missbrauch registriert, muss er den betreffenden, regelmäßig unwissenden Nutzer zunächst darauf aufmerksam machen. Weiterhin muss er ihn auf technische Mittel hinweisen, mit denen der Missbrauch erkannt und beseitigt werden kann. Entsprechende Angebote wie "botfrei.de" sind bereits vorhanden.

BSI als neue Superbehörde

Mit den Verpflichtungen der Unternehmen, Mindestanforderungen einzuhalten und Hackerangriffe zu melden, wird die Rolle des BSI beträchtlich aufgewertet. Bisher ist es maßgeblich als Erbringer von IT-Dienstleistungen für den Bund und als Stelle für die Zertifizierung sicherheitstechnischer Anwendungen in Erscheinung getreten. Zukünftig wird es die zentrale Stelle Deutschlands in sämtlichen Fragen der IT-Sicherheit sein. Folgerichtig sieht das Gesetz vor, das BSI durch einen erheblichen personellen und finanziellen Ausbau zu entlasten.

Dies ist auch vor dem Hintergrund der Pläne auf europäischer Ebene von Belang. Dort wird zurzeit über die Verabschiedung einer europaweit geltenden Netzsicherheitsrichtlinie beraten. Hierbei ist geplant, dass sich die Mitgliedstaaten gegenseitig über aufgedeckte IT-Sicherheitsvorfälle informieren und eng zusammenarbeiten.

Weiterhin wird die Zuständigkeit des Bundeskriminalamts (BKA) auf sämtliche im Strafgesetzbuch (StGB) erfassten Cyberdelikte erweitert (§§ 202a, 202b, 202c, 263a, 303a und 303b), sofern sich Taten gegen die Sicherheit der Bundesrepublik Deutschland, ihrer Behörden oder wichtiger Infrastrukturen richtet. Das BKA soll daher auch personell und finanziell aufgestockt werden.

Wir brauchen mehr Sicherheit, aber auch mehr Wissen

Die Gefahren aus der "digitalen Welt" und das weitreichende Missbrauchspotenzial infolge von IT-Schwachstellen sind groß. Daher ist das IT-Sicherheitsgesetz ein wichtiger Baustein, um die Gesellschaft weiter an das digitale Zeitalter anzupassen. Ausschließlich auf freiwillige Initiativen zu setzen, erscheint der Bundesregierung damit zu Recht als zu kurz gegriffen. Daher packte de Maizière das bereits in der vergangenen Legislaturperiode von seinem Vorgänger Hans-Peter Friedrich angestoßene Projekt mit Nachdruck an.

Der Bundesinnenminister bezeichnet das IT-Sicherheitsgesetz in der Bundespressekonferenz vielsagend als "eine erste Antwort auf viele Fragen". Deutschland soll international eine Vorreiterrolle und Vorbildfunktion einnehmen, an der sich andere Staaten ein Beispiel nehmen.

Mit dem IT-Sicherheitsgesetz ist ein wesentlicher Schritt getan. Es reicht aber nicht allein, Unternehmen zu verpflichten, die gesetzlichen Maßnahmen effektiv umzusetzen. Eine der wesentlichen Herausforderungen der Zukunft ist die weitere Sensibilisierung der Internetnutzer für die Sicherheit ihrer informationstechnischen Anwendungen auf ihrem Laptop, Tablet oder Smartphone.

Der Autor Philipp Roos ist wissenschaftlicher Mitarbeiter und Doktorand in der Zivilrechtlichen Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster.