Die Bundesregierung will mit einem neuen IT-Sicherheitsgesetz kritische Infrastrukturen wie Energienetze oder Banken und Börsen vor Cyberangriffen schützen. Dabei soll die Wirtschaft nicht unnötig belastet werden. In ersten Reaktionen loben Industrie und Banken den verbesserten Entwurf aus dem Vorjahr.ge Berlin – Mit dem geplanten IT-Sicherheitsgesetz soll die Wirtschaft nicht unnötig belastet werden. Dies sagte Bundesinnenminister Thomas de Maizière (CDU) gestern in Bonn, nachdem sein Ministerium den Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme online gestellt hatte. Es sei kluge Eigenvorsorge von Unternehmen, nicht Ziel von Angriffen zu werden. “Aber das, was für das Zusammenleben unserer Gesellschaft wichtig ist, das muss auch vor Angriffen möglichst geschützt werden.”Zugleich wies der Minister Kritik an einem erhöhten Bürokratieaufwand durch das Gesetz zurück. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das Leben der Bundesrepublik massiv beeinträchtigten, dann sei es nicht zu viel verlangt, anonym oder öffentlich darüber zu unterrichten. Das Sicherheitsgesetz solle dazu beitragen, “unser Netz zu einem der sichersten der Welt zu machen.”Für den Bundesverband der Deutschen Industrie (BDI) ist der neue Gesetzentwurf eine deutliche Verbesserung zum alten Entwurf aus dem Jahr 2013. Vor allem die jetzt vorgesehene Anonymisierung von einem Großteil der geforderten Meldungen nach einer Cyberattacke stößt bei der Wirtschaft auf Zustimmung. Auch für den Bankenverband geht der Entwurf “in die richtige Richtung”. Der Hightechverband Bitkom begrüßt das geplante IT-Sicherheitsgesetz ebenfalls, mahnt aber mehr Unterstützung für mittelständische Firmen an bei der Verbesserung ihrer IT-Sicherheit. “Sicherheitslage angespannt”Gleichzeitig beziffert Verbandspräsident Dieter Kempf die Kosten aus der beabsichtigten Meldepflicht für schwere IT-Sicherheitsvorfälle mit bis zu 1,1 Mrd. Euro pro Jahr. Hinzu kämen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe.Mit dem Gesetz will die Regierung kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze, aber auch Bahnen, Banken, Börsen, Versicherungen und Wasserbetriebe besser vor Cyberangriffen schützen. Hintergrund dafür ist die Beobachtung des Innenministeriums, nach der die IT-Sicherheitslage in Deutschland “weiterhin angespannt” sei und die Angriffe aus dem Cyberraum “zunehmend zielgerichtet, technologisch ausgereifter und komplexer” erfolgten. Neue Schwachstellen würden immer schneller ausgenutzt.Nach dem Gesetzentwurf werden Unternehmen aus sensiblen Bereichen verpflichtet, Attacken auf ihre IT-Systeme unverzüglich zu melden. Kommt es dabei nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes, soll eine anonyme Meldung ausreichen. Die betroffenen Firmen sollen zwei Jahre Zeit bekommen, um in ihrer Branche Mindeststandards zur IT-Sicherheit festzulegen. Diese müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Unternehmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen. Vor Weihnachten im KabinettDas BSI wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Neben dem BSI bekommt auch das Bundeskriminalamt mehr Geld und Personal, um die neuen Aufgaben zu bewältigen. Minister de Maizière will den Gesetzentwurf im Herbst gründlich diskutieren und möglichst noch vor Weihnachten im Kabinett verabschieden.