27. April 2017
IT-Sicherheit
Cybersicherheit: viel erreicht, noch viel zu tun
- Foto: Yuri Samoilov - CC BY 2.0
Heute wird der Umsetzungsgesetzentwurf der EU-Richtlinie für ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen (NIS) in der Europäischen Union sowie ein Änderungsantrag und ein Antrag der Koalitionsfraktionen in 2./3. Lesung debattiert und verabschiedet. Das ist ein weiterer wichtiger Schritt zur Erhöhung der IT-Sicherheit in Deutschland und in der EU.
Gerold Reichenbach, zuständiger Berichterstatter der SPD-Bundestagsfraktion sagte: „Die Koalitionsfraktionen ergänzen den Gesetzentwurf der Bundesregierung insbesondere um die Forderung nach einem Gütesiegel für IT-fähige Produkte. Die Befugnisse für Provider zur Abwehr von Sicherheitsvorfällen werden auf rechtssicheren Boden gestellt.
Aus den Sicherheitsvorfällen der vergangenen Monate haben wir damit die Lehren gezogen: In einem Antrag der Koalitionsfraktionen fordern wir die Bundesregierung auf, ein IT-Gütesiegel in Abstimmung mit Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten und sich auf europäischer Ebene für verbindliche Anforderungen an IT-Sicherheitseigenschaften von internetfähigen Produkten einzusetzen. Denn nur sichere IT-fähige Produkte, deren Verbreitung durch ein IT-Gütesiegel gefördert werden kann, tragen langfristig entschieden dazu bei, die Cybersicherheit in Deutschland zu erhöhen und ein Bewusstsein für das Thema in der Bevölkerung zu schaffen. Daneben stellt der Änderungsantrag der Koalitionsfraktionen die Befugnisse von Anbietern von Telekommunikationsdiensten zur Abwehr oder Beseitigung von erheblichen Störungen auf rechtssicheren Boden. Unter sehr engen Vorgaben werden Anbieter nun im Fall von Angriffen befugt, Netzwerkprotokolldaten zu analysieren, um Angriffswellen und gravierende Folgeschäden eindämmen sowie Angriffe und Muster erkennen und abwehren zu können. Dabei handelt es sich nicht wie gelegentlich behauptet um eine abgespeckte Version von Deep Packet Inspection (DPI). Im Gegenteil, wir haben im Gesetzeswortlaut deutlich formuliert, dass es sich lediglich um Netzwerkprotokolldaten handeln darf und dass der Zugriff auf Kommunikationsinhalte vollständig ausgeschlossen ist.
Unser Änderungsantrag zum Umsetzungsgesetz sowie den Antrag zum Gütesiegel betrachten wir als notwendige Ergänzungen zur NIS-Richtlinie, die einen einheitlichen Rechtsrahmen für den EU-weiten Ausbau nationaler Kapazitäten für Cybersicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union auf diesem Gebiet sowie Mindersicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen sowie für bestimmte digitale Dienste festlegt. Der vorliegende Gesetzentwurf der Bundesregierung sowie Änderungsantrag und Antrag bieten eine gute Grundlage für weitergehende gesetzgeberische Maßnahmen auf EU-Ebene im Bereich der produktbezogenen und produktinduzierten IT-Sicherheit, die dringend erforderlich bleiben und nur auf europäischer Ebene angegangen werden können.“