Gesetzesentwurf: Meldepflicht von Hackerangriffen

Der Entwurf des Bundesinnenministeriums zielt auf einen Mindeststandard an IT-Sicherheit in kritischen Bereichen ab. Unter die Kategorie der Telekommunikationsdiensteanbieter fallen demnach auch Anbieter von Informations- und Kommunikationstechnik.

Die Meldepflicht soll nach dem Gesetzesentwurf gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bestehen. Das BSI soll dann auch für die Prüfung der von den Unternehmen einzuhaltenden Sicherheitsstandards sein. Das BSI hätte nach dem Entwurf allerdings auch das Recht, die Überprüfungen an Dritte auszulagern.

Im Wesentliche, müssten Telekommunikationsanbieter dann solche Vorfälle melden, bei denen es z.B. zu Datendiebstählen gekommen ist. Dabei steht nicht nur die Überprüfung der Sicherheitsstandards im Vordergrund, sondern auch die Versorgung der Unternehmen mit notwendigen Informationen zur Verbesserung des Schutzniveaus.

Neben der Meldepflicht, sollen die Anbieter die betroffenen Kunden über Bekannte Störungen informieren und diesen leicht bedienbare Hilfsmittel an die Hand geben, um mit dem Sicherheitsvorfall möglichst glimpflich umgehen zu können.

Des Weiteren, sieht der Entwurf auch eine Erweiterung der Kompetenzen des Bundeskriminalamtes (BKA) vor, welche die Zuständigkeit des BKA auf weitere Straftatbestände neben der Computersabotage (§ 303 b StGB) ausdehnt. Danach soll eine Ermittlungszuständigkeit des BKA auch für das Ausspähen von Daten (§ 202 a StGB), das Abfangen von Daten (§ 202 b StGB), das Vorbereiten des Ausspähens und Abfangens von Daten (§ 202 c StGB), den Computerbetrug (§ 263 a StGB) sowie die Datenveränderung (§ 303 a StGB) bestehen, sofern der Verdacht besteht, dass diese Taten gegen die innere oder äußere Sicherheit der BRD oder gegen sicherheitsempfindliche Stellen richtet.

Der Gesetzesentwurf wurde bislang von Bundesinnenministerium an diverse weitere Ministerien sowie Verbände versenden, damit diesen den Referentenentwurf kommentieren können.

Diverse Verbände haben bereits dahingehend Stellung zu dem Gesetzesentwurf bezogen, dass sie eine immense Kostenbelastung für IT-Unternehmen befürchten, da die Meldepflicht zu stark ausgeweitet wird. Zudem erscheint es für manche Unternehmen bedenklich, solche Vorfälle öffentlich zu machen. Sie befürchten hierdurch entstehende hohe Reputationsschäden und einen damit einhergehenden Verlust von Marktanteilen.

Nach Aussagen des Bundesinnenministeriums, sei eine solche Gesetzgebung im Hinblick auf die zunehmende Kriminalität im Online-Bereich unumgänglich.

Es erscheint zwar durchaus als geboten, einen gesetzlichen Mindeststandard im Bereich IT-Sicherheit zu etablieren.

Nichtsdestotrotz ist die Befürchtung einer starken Kostenbelastung für die betroffenen Unternehmen nicht von der Hand zu weisen.

Insbesondere könnte die Gesetzgebung für kleine und mittelständische IT-Unternehmen zu unverhältnismäßigen Aufwänden führen.

Es bleibt nun abzuwarten, wie die angesprochenen Ministerien und Verbände sich zu der Sachlage äußern und welche konkreten Änderungsvorschläge im Hinblick auf den Gesetzesentwurf erfolgen werden.