Deutscher Bundestag

Empfehlungen

Info

22294 Deutscher Bundestag – 18. Wahlperiode – 221. Sitzung. Berlin, Donnerstag, den 9. März 2017 (A) IT-Sicherheitsgesetz haben wir in Deutschland die meisten Vorgaben dieser Richtlinie erfüllt und sind mit gutem Beispiel vorangegangen. Europa nun auch endlich im Bereich der Cybersicherheit gerecht werden. (C) (B) Mit dem IT-Sicherheitsgesetz haben wir bereits eine gesetzliche Meldepflicht für Betreiber kritischer Infrastrukturen geschaffen. Diese Meldepflicht wird jetzt mit dem vorliegenden Gesetzentwurf auch auf digitale Dienste wie Onlinemarktplätze und Suchmaschinen ausgeweitet und erfüllt damit die Vorgaben der EU-Richtlinie. Gerade diese Meldepflicht ist zur Erstellung eines Lagebilds unabdingbar. Nur dadurch können wir nachvollziehen, wie umfangreich die Angriffe sind und welche neue Schadsoftware im Umlauf ist. Durch den vorliegenden Gesetzentwurf werden die Befugnisse des BSI zur Überprüfung der technischen und organisatorischen Sicherheitsanforderungen erweitert und die rechtlichen Grundlagen für den Einsatz von Mobilen Incident Response Teams, MIRTs, geschaffen, die andere Stellen bei Bedarf, bei der Abwehr von Cyberangriffen mit besonders hoher technischer Qualität, vor Ort unterstützen können. Zusätzlich wird es dem BSI ermöglicht, die Einhaltung der Vorgaben bei Betreibern von kritischer Infrastruktur vor Ort zu kontrollieren. Damit stärken wir das BSI weiter bei der Bündelung der Kompetenzen im Cybersicherheitsbereich und verbessern den Schutz von Staat, Wirtschaft und der Bevölkerung vor Angriffen. Diese Erweiterung der Befugnisse des BSI ist nach den Angriffen der letzten Jahre auch dringend notwendig. Dabei ist aber auch zu betonen: Die Befugniserweiterung des BSI darf den Datenschutz nicht untergraben. Um dies zu gewährleisten, werden daher auch weiterhin keine sensiblen Daten erfasst. Alle personenbezogenen Daten, die für die Wiederherstellung der Sicherheit bei Betreibern kritischer Infrastruktur wichtig sind, werden deshalb sofort gelöscht, wenn sie nicht mehr benötigt werden. Zudem verpflichten wir das BSI mit dem vorliegenden Entwurf, bei grenzüberschreitenden Vorfällen die Behörden des jeweiligen EU-Staates zu informieren. Diese internationale Kooperation ist für ein hohes Schutzniveau in der gesamten Union mitentscheidend und wird deshalb auch zu Recht in der EU-Richtlinie gefordert. Neben den bereits erwähnten Maßnahmen zeigt auch die Einrichtung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, ZITiS, im Bundesinnenministerium, welche Bedeutung der Cybersicherheit von den Koalitionsfraktionen und der Bundesregierung zugemessen wird. Bei der Diskussion über Cyberangriffe muss man aber auch immer erwähnen – und das ist durch die Angriffe in der Vergangenheit auch mehr als deutlich geworden –: Eine absolute Sicherheit vor solchen Angriffen gibt es nicht. Mit dem IT-Sicherheitsgesetz haben wir es aber geschafft, einheitliche Mindeststandards in der Bundesrepublik zu schaffen. Die Umsetzung der Richtlinie ist für die europäische Zusammenarbeit im Bereich Cybersicherheit ein wichtiges Signal und zeigt, dass wir unserer Vorreiterrolle in Gerold Reichenbach (SPD): Die Digitalisierung durchdringt unser Leben immer weiter in nahezu allen Bereichen, ein Ende ist nicht absehbar. Das bereits heute bestehende Ausmaß an Vernetzung unserer Alltags- und Arbeitswelt, der Industrie und der Wirtschaft, dem Gesundheitswesen und vielem mehr macht uns in hohem Maße anfällig für Angriffe im und aus dem Cyberraum. Sicherheitslücken und Cyberangriffe können dramatische Folgen haben. Der Angriff auf Internetrouter Ende vergangenen Jahres, bei dem auch großflächig Router der Telekom ausfielen und circa 1 Million Kunden betroffen waren, oder auch der Hackerangriff, der das Krankenhaus Neuss Anfang 2016 lahmgelegt hat, lassen erahnen, was für ein Gefahrenpotenzial im Bereich unsicherer IT-Produkte schlummert und wie sehr ihr Ausfall das öffentliche Gemeinwesen schädigen kann. Um solche Situationen geht es bei der Umsetzung der Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union, über die wir hier in erster Lesung beraten. Wir begrüßen daher diese vom Europäischen Parlament vorgelegte Richtlinie. Sie bildet die Grundlage für einen einheitlichen europäischen Rechtsrahmen, einen EU-weiten Ausbau nationaler Kapazitäten für die Cybersicherheit und eine stärkere Zusammenarbeit der Mitgliedstaaten in diesem Bereich. Dies ist wichtig, denn IT-Sicherheit ist längst keine nationale Frage mehr. Es werden außerdem Mindestanforderungen und Meldepflichten nicht nur für die Betreiber wesentlicher Dienste, also für Betreiber kritischer Infrastrukturen, sondern auch für die Betreiber bestimmter digitaler Dienste geschaffen. Deutschland ist mit dem IT-Sicherheitsgesetz von 2015 bereits gut aufgestellt. Vorausschauend haben wir hier bereits mit Blick auf die NIS-Richtlinie viele Regelungen, die die Richtlinie nun vorgibt, umgesetzt, sodass die jetzt nötigen Änderungen gering gehalten werden können. Die Anforderungen der Richtlinie, die über das bestehende IT-Sicherheitsgesetz hinausgehen, sind sinnvoll. Die Meldepflichten und stärkeren materiellen Vorgaben für Unternehmen, die nun beispielsweise Konzepte zur Bewältigung von Sicherheitsvorfällen vorlegen müssen, erachten wir als dringend erforderlich. Aktuelle Cyberangriffe im Telekommunikationsbereich haben gezeigt, dass die Meldewege von der Bundesnetzagentur zum BSI bei Vorfällen in Telekommunikationsnetzen nicht mehr gerecht werden. Insbesondere der Telekom-Vorfall hat gezeigt, dass Meldewege optimiert werden müssen. Wir begrüßen daher auch die mit dem Umsetzungsgesetz eingeführte Doppelmeldepflicht von Sicherheitsvorfällen beim Bundesamt für Sicherheit in der Informationstechnik und bei der Bundesnetzagentur. Durch die parallele Meldung wird es dem BSI ermöglicht, seine Ressourcen und Kompetenzen zeitnah und besser einzusetzen. Zur Erhöhung des Niveaus der Cybersicherheit wird das BSI insbesondere durch die Nachweis- und Meldepflichten der Betreiber kritischer Infrastrukturen weiter gestärkt. (D)
Deutscher Bundestag – 18. Wahlperiode – 221. Sitzung. Berlin, Donnerstag, den 9. März 2017 22295 (A) Fortan müssen zudem nicht nur Ausfälle, sondern auch erhebliche Störungen gemeldet werden. Gütesiegels im weiteren gesetzgeberischen Verfahren daher prüfen. (C) (B) Wir wollen uns den vorliegenden Gesetzentwurf noch näher anschauen mit Blick auf die Frage, wo sich aus den jüngsten Sicherheitsvorfällen noch weiterer Bedarf zur gesetzlichen Reaktion ergibt. Besonderes Augenmerk liegt dabei darauf, wie Sicherheitslücken in IT-Endgeräten, wie beispielsweise jene im genannten Router-Vorfall, vermieden werden können, aber auch, welche Möglichkeiten Netzbetreiber benötigen, um künftig Angriffe schneller abwehren oder sogar verhindern zu können. Denn je mehr beispielsweise die klassische Telefonie auf Voice-over-IP übergeht – und in wenigen Jahren wird Telefonie flächendeckend über Voice-over-IP laufen –, desto mehr ist auch die Möglichkeit der Absetzung eines Notrufs von einer funktionierenden Internetverbindung abhängig. So werden zum Beispiel Router Teil einer sicherheitsrelevanten Infrastruktur. Aus Sicht der SPD-Bundestagsfraktion besteht darum auch im Bereich der Produkthaftung und der Einführung eines verlässlichen Gütesiegels Handlungsbedarf. Da zunehmend alles mit allem vernetzt ist – Stichwort Internet der Dinge/ Internet of Things, IoT –, stellt sich immer drängender die Frage, wie die IT-Sicherheit der vernetzten Dinge sichergestellt werden kann und wer in der Haftung ist. Denn nicht nur offensichtlich internetfähige Geräte wie Computer, Smartphones und Tablets sind heutzutage vernetzt und eine potenzielle Gefahrenquelle, auch Alltagsgegenstände wie Wecker, Zahnbürsten, Babyphones, Kaffeemaschinen und Kühlschränke sind heute mit einer IP-Adres se ausgestattet und damit internetfähig. Das Internet der Dinge hat in einem sehr kurzen Zeitraum eine enorme Größe erreicht. Selten finden bei diesen Geräten Softwareupdates statt – oft weil die Hersteller keine sicheren Produkte auf den Markt bringen, oft weil die Nutzerinnen und Nutzer keine Softwareupdates durchführen oder diese auch nicht mehr zur Verfügung stehen. So entstehen weltweit bei Millionen Geräten Sicherheitslücken. Diese Geräte können leichter gehackt und für den Aufbau von Bot-Netzen und DDoS-Angriffe genutzt werden, die zu weiteren Ausfällen von Diensten und von ganzen Infrastrukturteilen führen können. So werden Massenwaren, die von jeder Privatperson gekauft werden können, zum Bestandteil einer kritischen Infrastruktur. Sicherheitsmängel bei privat erworbenen und genutzten Geräten werden so zu einem Sicherheitsrisiko für ganze Teile der Bevölkerung, wenn diese Geräte gehackt als Teil eines Bot-Netzes beispielsweise für den Angriff auf einen Wasserversorger genutzt werden können. Ein Gütesiegel, basierend auf BSI-Mindeststandards halten wir daher für einen wichtigen ersten Schritt, um die Angreifbarkeit von IT-Produkten einzudämmen. Selbstverständlich macht das Internet nicht an nationalen Grenzen Halt. Insofern gilt es, europäische und internationale Lösungen und Standards für diesen Bereich zu finden und durchzusetzen. Deutschland sollte hier mit gutem Beispiel vorangehen und eine Vorreiterrolle einnehmen. Denn ein hohes Maß an IT-Sicherheit bedeutet nicht nur eine Erhöhung der öffentlichen Sicherheit, sondern auch einen Standortvorteil für Wirtschaft und Unternehmen. Wir sollten Regelungen für die Erhöhung der Sicherheit von IT-Produkten durch die Einführung eines Martina Renner (DIE LINKE): Die Bundesregierung hat sich vorgenommen, die Richtlinie zur Verbesserung der Netz- und Informationssicherheit, NIS-Richtlinie, in nationales Recht zu überführen. Wesentliche Regelungen der sogenannten NIS-Richtlinie allerdings wurden bereits mit dem im Sommer 2016 in Kraft getretenen deutschen IT-Sicherheitsgesetz umgesetzt. Dies betraf beispielsweise die sogenannten wesentlichen Dienste, sprich: Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Seinerzeit nicht adressiert wurden die von der europäischen Richtlinie bereits erfassten „digitalen Dienste“. Das sind Onlinemarktplätze, Suchmaschinen und Cloud-Computing-Dienste. Diese Regelungslücke soll nun geschlossen werden. So weit, so scheinbar unspektakulär. Doch werden bei näherem Hinsehen drei grundlegende Mängel im Regierungsentwurf deutlich. Erstens. Rechtssicherheit für die Anbieter von „digitalen Diensten“ wird nicht erreicht. Der Regierungsentwurf zum Umsetzungsgesetz bleibt sowohl in der Definition als auch in der Konkretion der Anforderungen für digitale Diensteanbieter völlig unbestimmt. Insbesondere bleibt unbeantwortet, wie diese von den bereits im Rahmen des IT-Sicherheitsgesetzes regulierten Anbietern von Telemediendiensten abzugrenzen sind. Im Zweifel müssten sich die Anbieter an beide Regelungen halten. Geschaffen wird so eine Doppelregulierung und ein undurchsichtiges Dickicht an Sicherheitspflichten. Beides läuft der Gewährleistung der Netz- und Informationssicherheit und damit dem Zweck der Richtlinie zuwider. Weder Verbrauchern noch Anbietern ist damit gedient. Dringend notwendig ist es daher, eine inhaltliche Systematisierung der IT-Sicherheitspflichten für alle Anbieter und Dienste vorzunehmen. Zweitens. Das Bundesamt für Sicherheit in der Informationstechnik, BSI, wird mit dem Umsetzungsgesetz weiter zu einer operativen Behörde ausgebaut. Erstmals erhält es operative Befugnisse zur Cyberabwehr, um mit eigenen Kräften – wie es im Entwurf des Gesetzestextes heißt – bei der „Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme“ mitwirken zu können. Zum Ausdruck kommt die Ausweitung des Aufgabenbereichs auch in einem erneuten Stellenaufwuchs. Wurden dem BSI mit Verabschiedung des IT-Sicherheitsgesetzes bereits 220 Stellen zusätzlich zugewiesen, so kommen nun noch einmal 181,5 Stellen hinzu. Zugleich wird die Behörde allerdings nicht institutionell gestärkt, sondern bleibt dem Bundesinnenministerium unterstellt. Die Unabhängigkeit des BSI ist nicht gewährleistet. Der Präsident des BSI hat gerade erst erklärt, bei Ermittlungen zu Cyberattacken müssten am Ende Indizien interpretiert werden. Dies bedarf natürlich einer Unabhängigkeit der Untersuchungsbehörde. Zudem wird das schwammige Verhältnis des BSI zu den polizeilichen Sicherheitsbehörden und den Geheimdiensten von der (D)
Seite 1 und 2:
Plenarprotokoll 18/221 Deutscher Bu
Seite 3 und 4:
Deutscher Bundestag - 18. Wahlperio
Seite 5 und 6:
Seite 7 und 8:
Seite 9 und 10:
Seite 11 und 12:
Seite 13:
Seite 16 und 17:
22062 Deutscher Bundestag - 18. Wah
Seite 18 und 19:
Seite 20 und 21:
Seite 22 und 23:
Seite 24 und 25:
Seite 26 und 27:
Seite 28 und 29:
Seite 30 und 31:
Seite 32 und 33:
Seite 34 und 35:
Seite 36 und 37:
Seite 38 und 39:
Seite 40 und 41:
Seite 42 und 43:
Seite 44 und 45:
Seite 46 und 47:
Seite 48 und 49:
Seite 50 und 51:
Seite 52 und 53:
Seite 54 und 55:
Seite 56 und 57:
Seite 58 und 59:
Seite 60 und 61:
Seite 62 und 63:
Seite 64 und 65:
Seite 66 und 67:
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108 und 109:
Seite 110 und 111:
Seite 112 und 113:
Seite 114 und 115:
Seite 116 und 117:
Seite 118 und 119:
Seite 120 und 121:
Seite 122 und 123:
Seite 124 und 125:
Seite 126 und 127:
Seite 128 und 129:
Seite 130 und 131:
Seite 132 und 133:
Seite 134 und 135:
Seite 136 und 137:
Seite 138 und 139:
Seite 140 und 141:
Seite 142 und 143:
Seite 144 und 145:
Seite 146 und 147:
Seite 148 und 149:
Seite 150 und 151:
Seite 152 und 153:
Seite 154 und 155:
Seite 156 und 157:
Seite 158 und 159:
Seite 160 und 161:
Seite 162 und 163:
Seite 164 und 165:
Seite 166 und 167:
Seite 168 und 169:
Seite 170 und 171:
Seite 172 und 173:
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
Seite 190 und 191:
Seite 192 und 193:
Seite 194 und 195:
Seite 196 und 197:
Seite 198 und 199: 22244 Deutscher Bundestag - 18. Wah
Seite 219 und 220: Deutscher Bundestag - 18. Wahlperio
Seite 247: Deutscher Bundestag - 18. Wahlperio
Alle anzeigen

Deutscher Bundestag

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?