CDU/CSU und SPD wollen Änderungen in das geplante IT-Sicherheitsgesetz einfügen: So soll es einen Bußgeldkatalog und eine Verpflichtung für Hersteller erhalten, sich besser um ihre Produkte zu kümmern.
Auf den letzten Drücker wollen die Fraktionen der CDU/CSU und der SPD noch Änderungen am
geplanten IT-Sicherheitsgesetz erreichen, das am Freitag vom Bundestag verabschiedet werden soll. Unternehmen müssen jetzt mit Bußgeldern rechnen, wenn sie Hackerangriffe nicht melden.
Die geplanten Strafen können sich auf bis zu 50.000 beziehungsweise sogar auf bis zu 100.000 Euro belaufen, wenn „die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat“. So heißt es in dem
Änderungsantrag, der von Netzpolitik.org veröffentlicht wurde.
Betroffen sind alle Betreiber sogenannter kritischer Infrastrukturen. Dazu zählt die Bunderegierung nach Einschätzung der Frankfurter Allgemeinen Zeitung (FAZ) mittlere und größere Unternehmen aus den Branchen Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Laut FAZ fallen etwa 2.000 Unternehmen unter die Bestimmungen des geplanten IT-Sicherheitsgesetzes.
Neue Einbeziehung der Hersteller
Eine weitere gravierende Änderung des geplanten IT-Sicherheitsgesetzes bezieht sich auf die Verantwortung der Hersteller von Hard- und Software. So kritisieren die Fraktionen in ihrem Änderungsantrag, dass es „in der Praxis häufig an der Mitwirkung der Hersteller von informationstechnischen Produkten und Systemen bei der kurzfristigen Behebung von Sicherheitslücken fehlt, etwa durch die Bereitstellung eines erforderlichen Sicherheits-Updates“.
Das IT-Sicherheitsgesetz soll den Betreibern kritischer Infrastrukturen eine Grundlage geben, „eine Vereinbarung über die Sicherheit/Fehlerfreiheit der zum Einsatz vorgesehenen IT-Produkte und IT-Systeme gegenüber den Herstellern durchsetzen zu können“. Dazu benötigen sie aber die Mithilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Das BSI soll eine „Anordnungsbefugnis“ bekommen, „mit der die Hersteller der betroffenen informationstechnischen Produkte und Systeme im zumutbaren Umfang zur Mitwirkung an der Beseitigung oder Vermeidung von Störungen verpflichtet werden können“.
Welche Auswirkungen diese Regelung auf die Praxis haben wird und inwieweit das BSI die Hersteller zur längeren Bereitstellung von Sicherheits-Patches zwingen kann, muss sich noch zeigen. Bislang kümmern sich viele Hard- und Software-Hersteller lieber um die Entwicklung und den Verkauf neuer Produkte als um den Support ihrer älteren Erzeugnisse. Die Regelung ist aber sicher ein Schritt in die richtige Richtung.