Nach Cyber-Angriff auf Bundestag: Mehr Vorgaben für alle anderen

Welchen Schaden ein Cyberangriff verursachen kann, erfahren die Abgeordneten des Bundestages gerade schmerzhaft am eigenen Leib. Hacker haben Schadsoftware eingeschleust und sind tief in die Computer-Netze des Parlaments vorgedrungen. Das gesamte Ausmaß ist noch unklar. "Wir haben eine Schlacht verloren", sagt die Grünen-Abgeordnete Renate Künast. "Wir wissen nicht einmal, gegen wen wir diese Schlacht verloren haben."

Da wirkt es passend, dass Cyber-Sicherheit am Freitag gleich das erste Thema auf der Tagesordnung des Bundestages ist. Doch es geht nicht um das Parlament selbst, sondern um die Wirtschaft: Wichtige Unternehmen sollen sich besser gegen digitale Attacken schützen.

Der Bundestag macht Unternehmen strengere Vorgaben, während er selbst mit einer digitalen Attacke zu kämpfen hat - schlechtes Timing für die Glaubwürdigkeit der Parlamentarier. Die zeigen - aufgeschreckt durch die Cyber-Attacke - Entschlossenheit und weiten das Gesetz kurzfristig auf Behörden aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll festlegen, welche Anforderungen die Bundesbehörden in Zukunft für die Sicherheit ihrer Computer-Systeme und Netzwerke erfüllen müssen.

Meldepflicht bei Cyberangriffen

Ähnliche Mindeststandards müssen künftig wichtige Unternehmen vorweisen, zum Beispiel Banken, Wasserwerke, Energieunternehmen oder die Bahn. Wenn sie durch einen Cyberangriff lahmgelegt wären, hätte das schwerwiegende Folgen. Vollkommenen Schutz bieten solche Standards nicht, aber sie machen es Angreifern schwerer. "Auch Angreifer haben ein Kosten-Nutzen-Modell und sagen, wenn wir leicht reinkommen, tun wir es", sagt BSI-Präsident Michael Hange.

Die Betreiber der "kritischen Infrastrukturen" müssen außerdem erhebliche Störungen durch Cyberangriffe melden. Das BSI sammelt die Meldungen und will sich so einen besseren Überblick verschaffen, welche Gefahren lauern. Behält ein Unternehmen einen Angriff für sich, droht ein Bußgeld bis zu 100 000 Euro. Auch das ist eine Ergänzung der Abgeordneten. Eine Meldepflicht ohne Bußgeld sei wie ein Parkverbot ohne Strafzettel, bemerkte der SPD-Parlamentarier Gerold Reichenbach.

"Mit dem IT-Sicherheitsgesetz machen wir einen wichtigen Schritt zu mehr IT-Sicherheit", ist Bundesinnenminister Thomas de Maizière (CDU) überzeugt. SPD und Union verabschiedeten das Gesetz mit ihrer Mehrheit, Linke und Grüne stimmten dagegen. Die Oppositionsparteien fordern mehr Schutz auch für Bürger, etwa durch Verschlüsselung. Eine "Hacker-Meldezentrale" beim BSI reiche nicht aus, sagte der Grünen-Abgeordnete Dieter Janecek.

Gesetz erlaubt auch Datenspeicherung

Linke und Datenschutzaktivisten beschweren sich auch über eine weitere Regelung. Das Gesetz erlaubt es Telekom-Anbietern, Daten über das Verhalten ihrer Nutzer zu speichern, "um Störungen oder Fehler (...) zu erkennen, einzugrenzen oder zu beseitigen". Der Piratenabgeordnete im Kieler Landtag, Patrick Breyer, sieht darin eine Art Vorratsdatenspeicherung. "Technisch lässt sich das nicht rechtfertigen", meint er. "Der IT-Sicherheit würde es dienen, wenn man möglichst wenige Daten sammeln würde."

Immerhin auf eines können sich also alle einigen: Dass mehr für die digitale Sicherheit getan werden muss. "Es ist mit Sicherheit nicht das Ende unserer Bemühungen", sagt CSU-Mann Stephan Mayer.

dpa/acr/LTO-Redaktion