IT-Sicherheit & Datenschutz: Kabinett der Bundesregierung macht Druck

Das Kabinett der Bundesregierung Deutschland hat im Dezember 2020 den Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Was bedeutet das für Unternehmen der informationstechnischen Branche?

In Corona-Zeiten haben es Einbrecher mit Brechstange oder langem Schraubenzieher schwerer, da viele der Opfer sich im Homeoffice befinden, umso leichter fallen diese aber Cyberkriminellen zur Beute. Die Bundesregierung hat daher beschlossen, die Informationssicherheit weiter zu verbessern. Das Kabinett hat Mitte Dezember den Entwurf zu einem „Zweiten Gesetz zur Erhöhung informationstechnischer Systeme“ zur Verabschiedung durch den Bundestag beschlossen.

Mehr Befugnisse für das BSI

Einer der Punkte der Gesetzesvorlage sind mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses soll zum Beispiel künftig über einen längeren Zeitraum Daten speichern können. Denn Vorfälle in der Vergangenheit hätten gezeigt, dass sich Cyberattacken oft über einen mehrjährigen Zeitraum hinziehen können.

Hatte das BSI bisher vornehmlich die Aufgabe Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren, soll der Schutz nun auch auf die Bürgerinnen und Bürger ausgeweitet werden. Dabei soll das Bundesamt dem Gesetzesentwurf zufolge als unabhängige, neutr

ale Beratungsstelle für alle Fragen rund um die IT-Sicherheit etabliert werden. Ferner sieht der Kabinettsbeschluss die Schaffung der Voraussetzungen für eine einheitliche IT-Meldepflicht auch für andere systemkritische Unternehmen.
Außerdem soll die bestehende Meldepflicht für Betreiber kritischer Infrastrukturen, wie die bei der Energie- und
Wasserversorgung, auch auf andere Teile der Wirtschaft ausgeweitet werden.

Der Gesetzesentwurf des Bundeskabinetts möchte dem BSI mehr Befugnisse zusprechen, wie bspw. längere Datenspeicherung. Quelle: Adobe Stock / mdaake

Rüstungskonzerne sollen ebenso dazu gehören wie Unternehmen, die wegen ihrer hohen Wertschöpfung von besonderer volkswirtschaftlicher Bedeutung sind. Der Passus dürfte sicherlich noch Interpretationsbedarf nach sich ziehen. Die Zeit nennt hier auch Telekommunikationsnetze und die Einrichtungen des Gesundheitswesens. In jedem Fall sollen die betreffenden Firmen oder Organisationen verpflichtet werden, Systeme zur Angriffserkennung  (Cyber Attack Detection) einzusetzen.

Hersteller von Komponenten kritischer Systeme oder Infrastrukturen sind dem Gesetzesentwurf zufolge künftig auch mehr in der Pflicht. So heißt es dort laut einem Zeit-Artikel, aus der Garantieerklärung müsse hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente salopp gesagt kein Einfallstor für Missbrauch wie Sabotage, Spionage und Terrorismus bietet.

Was bedeutet der Entwurf für Huawei?

Zu den kritischen Infrastrukturen gehören auch die superschnellen, neuen 5G-Netze, wie t3n schreibt. Wenn die Vertrauenswürdigkeit der Systeme nicht ausreichend dargelegt wird, kann das Bundesinnenministerium den Einsatz untersagen.

Vor allem die superschnellen 5G-Netze werden zur kritischen Infrastruktur gezählt. Quelle: Adobe Stock / cegli

Dem IT-Magazin und der Zeit zufolge kann das auch Auswirkungen auf Huawei haben. Der chinesische Anbieter steht seit geraumer Zeit unter Kritik, seinem Land zu dienen und keinen ausreichenden Schutz vor Spionage und Cyberattacken zu bieten. Huawei selbst hat diese Vorwürfe stets von sich gewiesen. Das Bundesinnenministerium ist gefordert, die Mindestanforderungen festzulegen. Erweist sich ein Hersteller als nicht vertrauenswürdig, weil er zum Beispiel bekannte Schwachstellen an den jeweiligen Betreiber nicht offenlegt, kann der Betrieb des betreffenden Systems oder der Komponente vom Ministerium untersagt werden.

Fakt: Jedes dritte deutsche Unternehmen hat laut Bitkom seit Inkrafttreten der DSGVO mindestens eine Datenpanne gemeldet.

Fakt: Deutsche Unternehmen investieren laut Bitkom durchschnittlich 14 Prozent ihres IT-Budgets in Cybersicherheit.

Fazit mit Fragezeichen

Der Gesetzesentwurf lässt sicherlich noch manche Punkte offen, so zum Beispiel die Frage, welche Unternehmen wegen ihrer Wertschöpfung unter dem besonderen Schirm des BSI und Innenministeriums fallen sollen. Fraglich ist auch, wie weit die Erklärungen oder Garantien der Hersteller in puncto vertrauenswürdiger Komponenten gehen sollen oder können. Denn im Fall eines großen amerikanischen Anbieters sind auch US-Unternehmen im Zweifel nicht frei davon, Kundendaten an die Behörden weiterzuleiten. Mit dem Privacy Shield ist Mitte 2020 gerade das zweite Abkommen zwischen den USA und der EU gekippt worden. Die Unsicherheiten bleiben.

Ob und inwieweit das die Debatte im Bundestag beeinflussen wird, ist der vom Kabinett vorgelegte Gesetzesentwurf dennoch zu begrüßen, weil er ein deutliches Zeichen für mehr Sicherheit in der Informationstechnik schafft. Ob es wirklich der große „Durchbruch für Deutschlands Cybersicherheit“ (Horst Seehofer laut Zeit) ist, wird sich zeigen. Aber es wäre schon viel gedient, wenn Unternehmen, Behörden und Verbraucher dem Thema IT-Sicherheit mehr Aufmerksamkeit widmen würden. Die Experten von msecure unterstützen mittelständische Unternehmen bei den Themen IT-Sicherheit und Datenschutz.

Key Facts

Betroffenenrechte: Die Zahl der Auskunftsanfragen nach Art. 15 DSGVO stieg seit 2018 um über 400 Prozent.

Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Häufige Fragen

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Datenschutz regelt den rechtmäßigen Umgang mit personenbezogenen Daten (Rechtsgrundlage, Zweckbindung, Betroffenenrechte). Datensicherheit umfasst die technischen und organisatorischen Maßnahmen zum Schutz aller Daten vor Verlust, Manipulation oder unbefugtem Zugriff.

Braucht jedes Unternehmen einen Datenschutzbeauftragten?

In Deutschland ist ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen regelmäßig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besondere Kategorien von Daten (z.B. Gesundheitsdaten) verarbeitet werden.

Welche Rechte haben Betroffene nach der DSGVO?

Auskunftsrecht, Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht. Unternehmen müssen Anfragen innerhalb eines Monats beantworten.

Artículos relacionados

• So können Cyberangriffe auf kritische Infrastrukturen vermieden werden
• Multi-Carrier-Zugänge als Garanten gegen den Systemausfall
• DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen

Más de la red MBF Media

• Cloud & Infrastruktur-News auf cloudmagazin.com
• IT-Strategien für Entscheider auf digital-chiefs.de

Fuente de la imagen: Adobe Stock / andranik123

Das Wichtigste in Kürze

• Das Kabinett der Bundesregierung Deutschland hat im Dezember 2020 den Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen.
• Der Gesetzesentwurf des Bundeskabinetts möchte dem BSI mehr Befugnisse zusprechen, wie bspw.
• Vor allem die superschnellen 5G-Netze werden zur kritischen Infrastruktur gezählt.
• Mit dem Privacy Shield ist Mitte 2020 gerade das zweite Abkommen zwischen den USA und der EU gekippt worden.

Sobre el autor: Klaus Hauptfleisch

Más artículos de Klaus Hauptfleisch