Bundestag beschließt IT-Sicherheitsgesetz

Gerold Reichenbach
Foto: Corinne van den Broek

Der Deutsche Bundestag verabschiedet heute eines der weltweit ersten IT-Sicherheitsgesetze. Die Frage von Sicherheit der IT ist neben dem Schutz von Persönlichkeitsrechten ein entscheidender Vertrauensfaktor in der digitalen Welt. Wir haben zentrale Forderungen aus der Anhörung umgesetzt.

Das heute vom Bundestag beschlossene IT-Sicherheitsgesetz ist ein wichtiger und überfälliger Schritt. Wir haben wichtige Anregungen aus der Öffentlichen Anhörung mitgenommen und umgesetzt. Betreiber Kritischer Infrastrukturen werden verpflichtet, ein hohes Niveau an IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle zu melden. In Ergänzung des kooperativen Ansatzes des IT-Sicherheitsgesetzes und in Erwartung der europäischen NIS-Richtlinie werden für bestimmte Fälle Bußgeldsanktionen bei Verstößen gegen Standards oder Meldepflichten vorgesehen. Bundesbehörden werden stärker einbezogen und verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu unterstützen.

Die Untersuchungsbefugnisse des BSI bei Produkten und Systemen, auch wenn sie noch in der Entwicklung befindlich sind, und auch die Zweckbindung wurden klarer gefasst. Da sich gerade in der Informations- und Telekommunikationstechnologie sowie bei Kritischen Infrastrukturen rasch Veränderungen vollziehen, wollen wir das Gesetz außerdem vier Jahre nach Inkrafttreten der dazugehörigen Verordnungen evaluieren.

Wie wichtig das heute beschlossene Gesetz ist, machen die jüngsten IT-Sicherheitsvorfälle überdeutlich. Nahezu alle Systeme und Produkte sind heutzutage von IT erfasst und mit dem Internet verbunden, wobei die Komplexität immer weiter zunimmt. Die Sicherheit unser Bürgerinnen und Bürger wird nicht zuletzt von der Sicherheit und Integrität der zugrunde liegenden Informationstechnik abhängen, das Vertrauen in diese zu einem immer entscheidenderen Faktor. Natürlich dürfen wir an dieser Stelle nicht stehen bleiben, aber der wichtige erste Schritt ist getan.

Innenausschuss berät Änderungen beim IT-Sicherheitsgesetz

Gerold Reichenbach
Foto: Corinne van den Broek

Der Innenausschuss berät heute abschließend die Änderungen beim IT-Sicherheitsgesetz, das am kommenden Freitag in 2./3. Lesung verabschiedet werden soll. Dieses Gesetz ist eine wichtige Grundlage für verbindliche Mindestanforderungen an die IT-Sicherheit Kritischer Infrastrukturen und wird mehr Schutz für Bürgerinnen und Bürger, Behörden und Unternehmen im Netz bedeuten. Wir haben zentrale Forderungen aus der Anhörung umgesetzt.

Wir haben zu Beginn der parlamentarischen Beratungen zum IT-Sicherheitsgesetz zugesichert, offen für Anregungen und Kritik zu sein. Zentrale Forderungen aus der Anhörung haben wir aufgenommen und das Gesetz an einigen Stellen verbessert.

So sollen Betreiber Kritischer Infrastrukturen den Stand der Technik zukünftig nicht nur berücksichtigen, sondern einhalten. Der kooperative Ansatz des Gesetzes wird in Erwartung der europäischen NIS-Richtlinie durch die Möglichkeiten bußgeldbewehrter Sanktionen ergänzt, wenn Betreiber Kritischer Infrastrukturen gegen bestimmte Verpflichtungen verstoßen; zum Beispiel gegen die Pflicht zur Meldung erheblicher Störungen.

In kritischen Fällen kann das Bundesamt für Sicherheit (BSI) in der Informationstechnik künftig von Herstellern von eingesetzter Soft- und/oder Hardware, Mithilfe an der Beseitigung oder Vermeidung einer Störung verlangen. Nicht zuletzt werden wir auch die Bundesbehörden in die Sicherheitsanforderungen des Gesetzes mit einbeziehen, indem das BSI Mindeststandards für die IT-Sicherheit des Bundes vorgibt, die für alle Stellen des Bundes verbindlich sind.

Dieses Gesetz ist ein erster wichtiger Schritt, die Sicherheit unser Bürgerinnen und Bürger im digitalen Zeitalter zu erhöhen. Ihm müssen nun weitere folgen.

IT-Sicherheitsgesetz ein wichtiger Schritt in Richtung sichere Infrastrukturen

Gerold Reichenbach
Foto: Corinne van den Broek

Der Innenausschuss führte gestern Nachmittag eine Öffentliche Anhörung zum IT-Sicherheitsgesetz durch. Experten waren sich einig, dass ein solches Gesetz ein wichtiger und überfälliger Schritt ist. Vertrauen und Sicherheit werden entscheidende Faktoren für die weitere digitale Entwicklung sein.

Die Experten waren sich bei der Öffentlichen Anhörung des Innenausschusses zum IT-Sicherheitsgesetz einig. Die gesetzgeberische Initiative ist ein wichtiger Schritt in die richtige Richtung, auch wenn es an einigen Punkten noch zu präzisieren gilt. Dies gilt nach Ansicht der SPD-Fraktion insbesondere für Punkte wie auf EU-Ebene vorgesehene, aber im Gesetzentwurf noch nicht enthaltene Sanktionsmechanismen, wenn Meldepflichten nicht beachtet oder der „Stand der Technik“ nicht  gewahrt werden. Ein weiterer offener Punkt ist die Frage, ob die Zweckbindung für die neuen Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den Umgang mit sensiblen Informationen ausreicht, oder ob diese präzisiert werden muss – nicht zuletzt auch, um das Vertrauen in diese Behörde langfristig sicherzustellen.

Das Funktionieren unserer Gesellschaft ist zunehmend von Datenverarbeitung und funktionierenden und sicheren Infrastrukturen und Kommunikationsinfrastrukturen abhängig. Vertrauen und Sicherheit werden für die weitere Entwicklung unserer Wirtschaft und Gesellschaft von herausragender Bedeutung sein. Wir sind sicher, mit dem vorliegenden Gesetzentwurf und den notwendigen Nachbesserungen einen wichtigen Beitrag für das Gelingen einer sicheren Digitalisierung beizutragen. Die SPD Bundestagsfraktion ist, so wie auch die Mehrheit der Sachverständigen, der festen Überzeugung, dass diesem ersten Schritt weitere, auch gesetzliche Initiativen, folgen müssen, um die IT-Sicherheit im Interesse der Bürger oder Unternehmen zu verbessern.

Mehr Verschlüsselung wagen

Foto: Susie Knoll / Florian Jänicke
Foto: Susie Knoll / Florian Jänicke

Die Enthüllungen Edward Snowdens haben die Politik lange Zeit ratlos gemacht, welche Konsequenzen zu ziehen, welches politische Handeln daraus abzuleiten sei. Schnell war aber allen klar: Vertrauen und Sicherheit in unsere Kommunikation und in die Verarbeitung und den Transport persönlicher und sensibler Daten können wir nur durch eine verlässliche und starke Verschlüsselung gewinnen. Die Bürgerinnen und Bürger sind dabei eher hilflos, als dass sie sorglos wären. Sie erwarten deshalb zu Recht, dass der Staat ihr Grundrecht auf private Kommunikation schützt. Die Wirtschaft benötigt eine sichere und vertrauensvolle Kommunikation, um sich vor Industriespionage und vor Wirtschaftskriminellen zu schützen. Und für Wissenschaft und Forschung ist das Forschungsgeheimnis essentiell. Um eine solche sichere Kommunikation zu gewährleisten, ist eine starke und ununterbrochene Verschlüsselung von einem Ende der Kommunikation zum anderen Ende – Ende-zu-Ende-Verschlüsselung – eine wesentliche Voraussetzung. Und zwar ohne Gucklöcher, Hintertüren oder Zweitschlüssel – wer wollte uns denn garantieren, dass die nicht auch von Unbefugten mißbraucht werden, von Kriminellen, von Wirtschaftsspionen oder von fremden Mächten?

Aus der Erfahrung der Anschläge in Paris ist in den westlichen Nationen das Bewusstsein erneuert worden, dass der Terror nicht nur weltweit, sondern auch in unserer Welt nicht beherrscht werden kann. Auch hier zeigt die Politik eine gewisse Ratlosigkeit und reagiert mit den immer gleichen Mustern: Mehr Sicherheit sei nur zu erlangen durch die immer weitgehendere Beschränkung der Bürgerrechte und damit der Freiheit. Dabei wissen wir doch: Wer die Freiheit für die Sicherheit aufgibt, wird am Ende beides verlieren!


Weiterlesen …

IT-Sicherheitsgesetz ein wichtiger Schritt in Richtung Schutz wichtiger IT-Infrastrukturen

Gerold Reichenbach
Foto: Corinne van den Broek

Der ursprüngliche Entwurf des IT-Sicherheitsgesetzes sah eine Erlaubnis für alle Web-Seitenanbieter zur umfangreichen Erhebung von Nutzungsdaten ohne konkreten Anlass vor. Der Sicherheitsgewinn einer solchen umfangreichen Erlaubnis ist fraglich, die Streichung der vorgeschlagenen Regelung im Rahmen der Ressortabstimmung insofern zu begrüßen.

Insgesamt kommen wir mit einem IT-Sicherheitsgesetz dem Ziel, eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland, mehr IT-Sicherheit bei Unternehmen und einen verbesserten Schutz der Bürgerinnen und Bürger im Internet zu erreichen, ein ganzes Stück näher.

Wir sind zunehmend von der Sicherheit technischer Strukturen abhängig. Umso wichtiger ist es, dass wir anlässlich der anstehenden parlamentarischen Beratungen auch die Frage diskutieren, welcher weiteren Schritte es zur Verbesserung der IT Sicherheit bedarf.

Sicherheitslücke im Internet Explorer zeigt Notwendigkeit gesetzlicher Regelungen

Gerold Reichenbach
Foto: Corinne van den Broek

Der erneute Skandal um eine bislang vor der Öffentlichkeit verschwiegene Sicherheitslücke im Internet Explorer von Microsoft macht einmal mehr die Notwendigkeit gesetzlicher Regelungen für die IT-Sicherheit deutlich. Diese Sicherheitslücke war Microsoft bereits seit Juni 2014 bekannt und wurde jetzt von der Zero Day Initiative veröffentlicht.

Unternehmen müssen zukünftig deutlich mehr für die Sicherheit ihrer Systeme und Produkte tun. Es kann nicht in ihr Belieben gestellt sein, ob und wenn ja wann sie die Öffentlichkeit und ihre Kunden über Sicherheitslücken informieren. Darüber hinaus müssen wir prüfen, ob die bestehenden Haftungsregelungen für IT- und Softwarehersteller ausreichend sind.

Arbeitsprogramm für eine umfassende Digitalisierungspolitik

Lars Klingbeil

Die Bundesregierung hat mit der Digitalen Agenda 2014-2017 ein ambitioniertes Arbeitsprogramm für die kommenden drei Jahre vorgelegt. Damit gibt es zum ersten Mal ein zusammenhängendes politisches Programm für die Digitale Gesellschaft. Mit der Digitalen Agenda wird eines der zentralen Vorhaben des Koalitionsvertrages umgesetzt.

Positiv ist vor allem das klare Bekenntnis zum flächendeckenden Breitband-Ausbau. Das Ziel, bis 2018 alle Haushalte mit mindestens 50 Mbit/s zu versorgen, wird nur mit einem Neustart der Breitband-Strategie gelingen. Gerade die ländlichen Kommunen benötigen dringend finanzielle Unterstützung, um Wirtschaftlichkeitslücken beim Ausbau zu schließen. Hier werden wir in der parlamentarischen Beratung finanzielle Zusagen einfordern. Das Vorhaben, die Rechtssicherheit für WLAN-Betreiber zu verbessern, ist ein weiterer wichtiger Baustein der digitalen Infrastruktur.

Die Förderung der digitalen Wirtschaft wird deutlich gestärkt. Neben einer IT-Gründungsoffensive rückt erstmals Industrie 4.0 als zentrales wirtschaftspolitisches Handlungsfeld in den Mittelpunkt. Mit dem Umbau der Hightech-Strategie zu einer umfassenden Innovationsstrategie werden die Weichen richtig gestellt. Die Weiterentwicklung des IT-Gipfels mit einer Öffnung für die Zivilgesellschaft war überfällig. Das Ziel der digitalen Agenda, die Zahl der IT-Gründungen deutlich zu erhöhen, ist richtig und muss mit entsprechenden Maßnahmen unterfüttert werden.

Mit dem Programm digitale Verwaltung 2020 werden im öffentlichen Bereich die Weichen zu mehr digitaler Transparenz und Bürgerfreundlichkeit gestellt. Dazu gehören auch entschlossene Schritte zu mehr Open Data, um die Innovationspotenziale in diesem Bereich zu heben. Der Bund muss hier eine Vorreiterrolle übernehmen.

Besonders wichtig bei der Umsetzung der Digitalen Agenda werden auch die geplanten Investitionen und Vorhaben im Bereich der IT-Sicherheit sein. Neben den rechtlichen Rahmenbedingungen, die in einem IT-Sicherheitsgesetz festgehalten werden sollen, brauchen wir dringend mehr finanzielle Mittel für die Forschung und Entwicklung im Bereich der IT-Sicherheit. Der Erhalt und die Rückgewinnung der digitalen Souveränität ist eine Grundlage für den weiteren Ausbau von Digitalen Infrastrukturen und eine Grundvoraussetzungen dafür, die mit der Digitalen Agenda gesteckten Ziele zu erreichen. Hier muss in den kommenden Jahren ein klarer Schwerpunkt liegen.

Gemeinsam mit den Ländern und weiteren Akteuren aus dem Bildungsbereich muss auch eine Strategie für digitales Lernen entwickelt werden. Wir müssen die Chancen der digitalen Medien nutzen und dafür sorgen, dass in Schulen, Aus- und Weiterbildung die grundlegenden Kompetenzen im Umgang mit digitalen Medien erworben werden können. Auch den Fachkräftebedarf einer Digitalen Wirtschaft müssen wir noch mehr in den Blick nehmen.

Die Vorstellung der Digitalen Agenda ist der Auftakt und der Start eines offenen Umsetzungsprozesses. Die Umsetzung dieses zentralen politischen Vorhabens kann nur in enger Abstimmung mit den Bundestagsfraktionen, Ländern, Kommunen und der europäischen Ebene sowie Zivilgesellschaft, Wissenschaft und Wirtschaft gelingen. Der neu eingerichtete Ausschuss Digitale Agenda des Deutschen Bundestages wird die Umsetzung der Digitalen Agenda maßgeblich begleiten und voranbringen.

IT-Sicherheitsgesetz muss jetzt kommen

Gerold Reichenbach
Foto: Corinne van den Broek

Internetdiensteanbieter müssen Kundendaten auf ihren Servern besser schützen. Sichere Passwörter des Einzelnen können die Sicherungsmaßnahmen der Unternehmen nicht ersetzen. Wir brauchen darum dringend ein IT-Sicherheitsgesetz mit klaren Anforderungen und Meldepflichten.

Der  milliardenfache Identitätsdiebstahl macht erneut deutlich, dass sich der einzelne Nutzer nur begrenzt selbst schützen kann. Auch wenn sichere Passwörter eine wichtige Schutzmaßnahme des Einzelnen sind, entbindet dies nicht die Unternehmen und Anbieter von Online-Diensten von ihrer Verpflichtung Daten sicher und verschlüsselt zu speichern. Bei einem Ausmaß von 1,2 Milliarden Datensätzen liegt es nahe, dass die Daten bei Diensteanbietern und Onlineshops nicht genügend gesichert wurden. Die Diensteanbieter müssen den Schutz der Daten vor unberechtigtem Zugriff und Missbrauch sicherstellen und hierzu entsprechende technische und organisatorische Sicherheitsvorkehrungen treffen.

In einer zunehmend vernetzten Welt steigt der Grad der Abhängigkeit von IT-Strukturen und die Sicherheitsanforderungen müssen angepasst werden. Erforderlich ist deshalb neben der Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) als wichtigste IT-Sicherheitsbehörde Deutschlands und der verstärkten Aufklärung der Bevölkerung über eigene Schutzmaßnahmen die zeitnahe Verabschiedung des IT-Sicherheitsgesetzes. Dieses sollte neben einer Meldepflicht bei IT-Sicherheitsvorfällen zudem die Unternehmen verpflichten, deutlich mehr für die Sicherheit ihrer Systeme und der Kundendaten zu tun. Bei Versäumnissen jedoch sollten Unternehmen künftig stärker in die Haftung genommen werden können.

Die digitale Gesellschaft braucht ein Immunsystem

Gerold Reichenbach
Foto: Corinne van den Broek

Der neueste Vorfall von Identitätsdiebstahl zeigt, wie wichtig Maßnahmen zur Sicherung von Daten und IT-Systemen sind. Das Bundesamt für Sicherheit in der Informationstechnik muss mit entsprechenden Ressourcen ausgestattet werden. Wir brauchen zudem ein modernes und wirksames IT-Sicherheitsgesetz.

Der gestrige Bericht der New York Times über die Aufdeckung eines Datendiebstahls mit immensen Ausmaß führt wieder einmal vor Augen, dass wir beim Datenschutz und Datensicherheit nicht nur reden dürfen, sondern handeln müssen. 1,2 Milliarden Kombinationen von Benutzernamen und Passwörtern sowie Millionen E-Mail-Adressen sollen gestohlen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft die Berichte derzeit gemeinsam mit deutschen und amerikanischen Behörden. Sollte die Zahl von 1,2 Milliarden Datensätzen zutreffen, werden mit sehr hoher Wahrscheinlichkeit auch viele deutscher Nutzer von Online-Diensten betroffen sein.

Angesichts dieses neusten Vorfalls ist es wichtig, dass das BSI als zentrale IT-Sicherheitsbehörde Deutschlands bei den kommenden Haushaltsberatungen mit den entsprechenden Ressourcen ausgestattet wird um der täglich wachsenden Bedrohung begegnen zu können. Dieser erneute Angriff und vor allem auch dessen Ausmaß macht zudem deutlich, dass wir dringend ein modernes und wirksames IT-Sicherheitsgesetz und entsprechende Meldepflichten brauchen, wie wir dies im Koalitionsvertrag vereinbart haben. Dies ist notwendig, um ein „Immunsystem“ der digitalen Gesellschaft zu schaffen, um gegen derartige Angriffe besser geschützt zu sein.

Datenschutz und TTIP – Positionspapier der AG Digitale Agenda

Foto: Veith Mette
Foto: Veith Mette

Am 2. Juli 2014 hat die AG Digitale Agenda der SPD-Bundestagsfraktion ein Positionspapier zu datenschutzrelevanten Aspekten beim Transatlantischen Freihandelsabkommen (TTIP) als gemeinsame Position beschlossen. Ziel der Positionierung ist es, klare datenschutzrechtliche Bedingungen aufzustellen, die erfüllt werden müssten, bevor die Verhandlungen zum TTIP abgeschlossen werden können. Wir werden in den kommenden Wochen und Monaten für diese Position in der Fraktion werben. Das Positionspapier soll außerdem eine Grundlage für weitergehende Diskussionen, beispielsweise in der Berichterstatterunde der SPD-Fraktion zum TTIP, bilden.

Hier der Wortlaut des Positionspapiers:

Positionspapier der AG Digitale Agenda der SPD-Bundestagsfraktion zu den datenschutz- und datensicherheitsrelevanten Aspekten beim Transatlantischen Freihandelsabkommen (TTIP)

 

Datenschutz und TTIP

Datenschutz und Datensicherheit dürfen keine Verhandlungssache sein. Allgemeine Datenschutzfragen sind, so die Kommission, auch nicht Gegenstand der TTIP-Verhandlungen, trotzdem ist nicht auszuschließen, dass Fragen der Datenübermittlung auch Datenschutzstandards berühren. Als sicher gilt, dass bei den TTIP-Verhandlungen Fragen der Datenübermittlung und auch der Datensicherheit behandelt werden sollen. Es ist dabei zu gewährleisten, dass alle geltenden Standards der EU beim Datenschutz- und Verbraucherschutz nicht unterschritten werden.

Es ist davon auszugehen, dass TTIP den Umfang und auch die Bedeutung der transatlantischen Datenübermittlungen weiter steigern wird. Ein reibungsloser Datenfluss in die USA sollte zukünftig nur unter strengen Bedingungen und bei gleichzeitiger Sicherung eines hohen Datenschutzniveaus erfolgen.

Da grundlegende Unterschiede zwischen der EU und den USA beim Datenschutz bestehen und das Vertrauen in den Datentransfer über den Atlantik durch den NSA-Skandal schweren Schaden genommen hat, sind die folgenden Punkte bei den TTIP-Verhandlungen in Bezug auf die Datenübermittlung zu berücksichtigen:


Weiterlesen …