Vom deutschen Bundestag wurde ein Entwurf genehmigt, der Betreiber kritischer Infrastrukturen zu Mindeststandards in der IT-Sicherheit verpflichten soll. Ebenso sollen erhebliche Störungen und Hackerangriffe gemeldet werden. All dies soll nach dem Stand der Technik durchgeführt werden.

Neben der dann obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI genehmigt werden. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Die Zuständigkeit des BKA soll auf bestimmte Cyberdelikte ausgeweitet werden, für die bislang noch die Länder verantwortlich sind. Für die Sicherheitsbehörden sind mehr Mittel und mehr Personal vorgesehen.

Energieversorger wie Telekommunikationsunternehmen werden sich in Zukunft an die Regelungen zu halten haben. Dabei soll das Bundesamt für IT-Sicherheit in der Informationstechnik zu einer zentralen Meldestelle ausgebaut werden. Aufgrund der Cyberangriffe auf des Bundestagsnetz wurde ebenso eine Verpflichtung aufgenommen, Protokoll- und Schnittstellendaten an das BSI weiterzuleiten. Das Amt soll System-Anbieter zur Mithilfe im Form einer Sicherheitsupdatepflicht vorschreiben können.

Die Idee einer Meldepflicht ist durchwegs positiv. Teilweise besteht diese schon, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf andere Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (BDSG in Deutschland).

Werden die Regelungen nicht eingehalten, drohen Bußgelder bis € 100.000,-.

Der Bitkom-Verband hat positiv auf den Regierungsentwurf reagiert, bemängelt jedoch den noch fehlenden Geltungsbereich kritischer Infrastrukturen.

Um Sicherheitsmaßnahmen zu prüfen, bieten sich Penetrationstests an. Durch die Penetrationstests werden IT-Netzwerke systematisch auf Sicherheitslücken getestet.

Eine kürzliche Umfrage der BITKOM zum Thema IT-Sicherheit ergab, dass alle Unternehmen Virenscanner und Firewall im Einsatz hatten. Jedoch nur 23% der Unternehmen hatten Einbruchserkennungssysteme und nur 20% führen Penetrationstests durch. 80% der Unternehmen verschlüsseln die Netzwerkverbindungen und 45% verschlüsseln Datenträger.

Inwieweit auch Druck auf Firmen im Ausland ausgeübt werden kann, wie  z.B. auf Microsoft für Windows-Sicherheitslücken, darf bezweifelt werden. Die besten Wünsche kann man jedoch den neuen Regelungen mitgeben.

Artikel von heise.de, 12.06.2015: Bundestag verabschiedet IT-Sicherheitsgesetz
Artikel von messoftwareundloesungen.wordpress.com, 16.06.2015: Bundesregierung verabschiedet IT-Sicherheitsgesetz