Zum Inhalt wechseln

GdP zur Vorstellung des IT-Sicherheitsgesetzes in Berlin:

Polizeilichen Schutz der digitalen Sicherheit weiter stärken

Berlin.

Die Gewerkschaft der Polizei (GdP) unterstützt das Vorhaben der Bundesregierung, die Wirtschaft und insbesondere die Betreiber sogenannter kritischer Infrastrukturen erweiterte Pflichten zum Melden von sicherheitsrelevanten Vorfällen im Zusammenhang mit IT-Systemen aufzuerlegen. Damit entspricht die Politik weitgehend einer GdP-Forderung, nach der sicherheitsrelevante Fälle von gefährlicher Cyberkriminalität gemeldet werden müssen.

GdP-Bundesvorsitzender Oliver Malchow: "Strafverfolgung und Ermittlungsverfahren sind Sache von Polizei und Staatsanwaltschaften. Für Delikte im Bereich der Cyberkriminalität oder Computersabotage darf es da keine Ausnahme geben." Es spreche unterdessen nichts dagegen, wenn die Polizei bei solchen mitunter arbeitsaufwändigen Ermittlungen mit privaten IT-Sicherheitsunternehmen kooperiert. Dass die Polizei aber mangels Technik und Know-how nur als Kunde von Fachfirmen in Erscheinung treten könne, müsse ausgeschlossen sein.

Mit dem am Mittwoch in Berlin von Bundesinnenminister Thomas de Maizière vorgestellten IT-Sicherheitsgesetz erhalte jedoch die sogenannte Vorratsdatenspeicherung offenbar eine "Beerdigung auf Zeit", stellte Malchow mit Ernüchterung fest. So biete auch das IT-Sicherheitsgesetz künftig für die Polizei praktisch kaum eine Handhabe, bei schweren und schwersten Straftaten zur schnelleren Ermittlung der Täter auf gespeicherte Verbindungsdaten zurückgreifen zu können. Zudem sei ein neuer Vorstoß für ein Gesetz zur Verkehrsdatenspeicherung nach jetziger Koalitionskonstellation in den nächsten Jahren nicht realistisch.

Unterdessen appellierte der GdP-Vorsitzende an die politischen Verantwortlichen, die Polizei mit zeitgemäßer Technik, bestmöglicher Ausbildung und ausreichendem Personal im Kampf gegen die Cyberkriminalität zu stärken. Zudem müsse auch der Polizeidienst für externe Experten deutlich attraktiver gestaltet werden.

Malchow: "Wenn das Funktionieren unserer Gesellschaft immer stärker von der digitalen Gesundheit von Servern und Software abhängt, müssen eben auch die Schutzmechanismen hochgefahren werden. Dabei sind gleichermaßen entsprechende Investitionen des Staates wie auch das Vertrauen der Wirtschaft in die professionelle polizeiliche Aufklärung und Verfolgung von Cyber-Kriminellen unabdingbar."


In der Berliner Bundespressekonferenz, wo Bundesinnenminister de Maizière und der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Hange, sowohl den Bericht zur Lage der IT-Sicherheit in Deutschland sowie den vom Kabinett zuvor verabschiedeten Entwurf des IT-Sicherheitsgesetzes vorstellten, betonte de Maizière die Chancen der digitalen Vernetzung, warnte jedoch ebenso vor deren Risiken. So würden jährlich zwei- bis dreitausend Cyber-Attacken auf die IT von Bundesbehörden registriert. Zudem sei das Entdeckungsrisiko für Entwickler von beispielsweise Schadsoftware noch gering.

BSI-Präsident Hange beschrieb das Internet als „attraktiven Angriffsort“. Etwa jede 15. Website sei moentan mit einem Schadcode infiziert. Es sei auch recht einfach, sich dort entsprechendes „Werkzeug“ für eine zielgerichtete Cyber-Angriffe zu besorgen. „Einen Trojaner-Koffer für bekommt schon ab 300 US-Dollar“, sagte er. Problematisch sei, dass pro Jahr etwa 700 kritische Schwachstellen in neuer Software aufgespürt würden, und diese Zahl stagniere. Auch die DAX-Unternehmen bestätigten überdies den Anstieg von Angriffen aus dem Netz, führte Hange fort. Besorgniserregend in diesem Zusammenhang sei der virtuelle Transport von Schadsoftware über sogenannte Fernwartungssoftware. Man könne unterdessen davon ausgehen, dass das Internet überwiegend für kriminelle Machenschaften wie den Diebstahl von Identitäten und weniger für nachrichtendienstliche Maßnahmen benutzt werde.

Bundesinnenminister de Maizière warb vor allem für das Ziel des neuen IT-Sicherheitsgesetzes, sogenannte Kritische Infrastrukturen besser zu schützen. Behörden der im weiteren Sinne staatlichen Daseinsvorsorge wie Energieunternehmen, Telefonie- und Internetanbieter, der öffentliche Nah- und Fernverkehr, das Gesundheitswesen, Wasserwerke, Nahrungsmittelhersteller oder Banken und Sparkassen., unterlägen Regeln, das Internet habe jedoch bisher nicht dazugehört. Da aber das Netz einen immer größeren Anteil am täglichen Leben jedes Einzelnen einnehme, sei jedoch ein immenser Vertrauensverlust zu befürchten, wenn das Internet mehr und mehr als gefährlich empfunden werde. „Mit dem IT-Sicherheitsgesetz gibt die Bundesregierung nun eine erste Antwort.“ Es werde für rund 2.000 Unternehmen verpflichtend sein, sicherheitsrelevante Störungen oder Angriffe, die den Betriebsablauf in Gefahr bringen, dem BSI zu melden. Dort werde analysiert und bewertet, um „vor die Lage zu kommen“. Im Gegenzug erhielten die Unternehmen wertvolle Empfehlungen über einen verbesserten IT-Schutz. Sofern Bundesbehörden im Fadenkreuz von Cyber-Angriffen stünden, erhalte das Bundeskriminalamt weiterreichende Befugnisse. „Mit diesem Gesetz sind wir europaweit Vorreiter in Sachen Schutz der IT-Sicherheit und leisten insgesamt einen wesentlichen Beitrag zur Netzsicherheit.“

De Maizière forderte Unternehmen und Firmen auf, auch selbst stärker in die Sicherheit der IT zu investieren. Wer das vernachlässige, dem könne es später teuer zu stehen kommen. Zukünftig sei eine Schadensersatzforderung eines Kunden, der durch eine mit Schadsoftware manipulierte, also "verseuchte" Webseite durchaus einen verheerenden Schaden erleiden könne, mehr als wahrscheinlich. So würden Anbieter von Online-Dienstleistungen nunmehr deutlich aufgefordert, ihre zum Beispiel Online-Shops „nach dem Stand der Technik“ zu sichern. Das Gesetz verbessere dadurch auch den Schutz für private Nutzer deutlich, sagte der Bundesinnenminister. Prinzipiell aber werde nun all das, was an Gewerbe-Vorschriften und Kundenschutz außerhalb des Internets bereits längst existiere, auch auf Netzanbieter übertragen. De Maizière: "Wir verlangen vom Supermarkt auch, dass er, wenn es friert, streut", veranschaulichte er.


In einer Pressemeldung des Bundesinnenministeriums wird die Vorlage des Gesetzentwurfs als ein erstes konkretes Ergebnis in der Umsetzung der Digitalen Agenda der Bundesregierung bezeichnet. Wie im Koalitionsvertrag vereinbart, enthalte der Gesetzentwurf Anforderungen an die IT-Sicherheit Kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung. „Die Betreiber Kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI zusammenlaufenden Informationen werden dort ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt.“
Zur Steigerung der IT-Sicherheit im Internet würden darüber hinaus die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Telekommunikationsunternehmen würden verpflichtet, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden -–etwa im Rahmen eines Botnetzes – für Angriffe missbraucht wird.

Der Gesetzentwurf baue die Rolle des BSI weiter aus und trage seiner gewachsenen Bedeutung als zentrale Stelle für die IT-Sicherheit unter anderem durch eine Erweiterung seiner Beratungsfunktion Rechnung. Um die Sicherheit von IT-Produkten für Kunden transparenter zu machen, solle das BSI die Befugnis erhalten, auf dem Markt befindliche IT-Produkte und IT-Systeme im Hinblick auf ihre IT-Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen.

Link: Mehr Hintergrund zum Thema IT-Sicherheit auf der Homepage des Bundesinnenministeriums