Berlin - Die Bundesregierung will kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze besser vor Cyberangriffen schützen. Innenminister Thomas de Maizière (CDU) legte einen ersten Entwurf für ein IT-Sicherheitsgesetz vor.

Damit will er Unternehmen aus sensiblen Bereichen gesetzlich verpflichten, Attacken auf ihre IT-Systeme unverzüglich zu melden.

Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen. De Maizière geht damit auf die Wirtschaft zu, die bislang starke Vorbehalte gegen die Gesetzespläne hatte. Wirtschaftsverbände reagierten wohlwollend auf das Vorhaben.

Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Störung oder Ausfall drastische Folgen haben würde. Darunter fallen Energie- oder Telekommunikationsnetze, Banken, Börsen, Versicherungen, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsbetriebe oder Wasserversorger.

Die betroffenen Firmen sollen zwei Jahre Zeit bekommen, um in ihrer Branche Mindeststandards zur IT-Sicherheit festzulegen. Diese müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Unternehmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die zuständigen Sicherheitsbehörden bekommen zusätzliches Geld und Personal, um sich um die IT-Sicherheit in Deutschland zu kümmern: Beim BSI, dem Bundeskriminalamt, dem Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sollen insgesamt mehr als 270 neue Stellen entstehen.

Bereits in der vergangenen Wahlperiode hatte die damalige Regierung einen Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren, vor allem wegen Widerständen der Wirtschaft. Aus Angst vor einem Ansehensverlust sind Firmen sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Cyberattacken wurden. Sie hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht. Die will ihnen die Regierung nun in den meisten Fällen zugestehen.

Der Bundesverband der Deutschen Industrie und der Hightech-Verband Bitkom begrüßten dies - und auch die Mitsprache der Firmen bei der Festlegung der Sicherheitsstandards. Der neue Entwurf sei deutlich besser als die früheren Pläne. Beide Verbände forderten aber, die Meldepflicht müsse auch für staatliche Stellen gelten. Schließlich sei der Staat der größte Betreiber kritischer Infrastrukturen.

Bitkom rechnet durch die Meldepflicht mit Kosten von bis zu 1,1 Milliarden Euro pro Jahr für die Wirtschaft. Für die Einhaltung höherer Sicherheitsstandards kämen wohl noch Ausgaben in dreistelliger Millionenhöhe hinzu.

De Maizière sagte in Bonn, der Mittelstand solle durch die Pläne nicht drangsaliert werden. Es sei kluge Eigenvorsorge von Firmen, nicht Ziel von Angriffen zu werden. Kritik an einem erhöhten Bürokratieaufwand durch das Gesetz und damit verbundene Mehrkosten ließ der Minister nicht gelten. Die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten. Wenn es wirklich große Angriffe gebe, die das öffentliche Leben massiv beeinträchtigen, sei es nicht zu viel verlangt, diese zu melden.

Der Entwurf soll laut de Maizière im Herbst gründlich diskutiert werden und möglichst vor Weihnachten ins Kabinett kommen.