Wie der „Focus“ in seiner heutigen Ausgabe berichtet, will das Bundesinnenministerium die Meldepflicht bei Angriffen auf IT-Systeme auf „weitere Wirtschaftszweige von besonderer Bedeutung“ ausweiten.
Ausweitung der Meldepflicht
Das „Nachrichtenmagazin“ FOCUS bezieht sich dabei auf ein Eckpunktepapier aus dem IT-Referat des Innenministeriums „Ergänzungsvorschläge als Konsequenz aus der sogenannten NSA-Affäre“. Dieses Papier geht weit über den bestehenden Entwurf eines IT-Sicherheitsgesetzes hinaus. Anders als beim ersten Entwurf aus dem Jahr 2013 soll die Meldepflicht bei Cyber-Attacken nicht mehr nur Betreiber von „Kritischen Infrastrukturen“, also etwa Energiekonzerne, treffen.
Nunmehr sollen auch andere, volkswirtschaftlich relevante Industrien, „die einen wesentlichen Teil zur Wirtschaftsleistung des Landes ausmachen“ – wie beispielsweise der Automobilindustrie, IT-Angriffe an die zuständigen Behörden melden. Ziel ist es, wirksame Mittel gegen die grassierende Wirtschaftsspionage zu entwickeln, die ja auch von Geheimdiensten „verbündeten“ westlichen Staaten betrieben wird.
Keine Metadaten außerhalb der EU
Der Entwurf ist aber noch in einem anderen Punkt interessant.
In Zukunft sollen Telekommunikationsanbieter verpflichtet werden, die Kommunikations-Metadaten nur noch in Deutschland oder in Europa zu speichern. Diese Metadaten zeigen nicht den Inhalt an; dafür aber wer wann wo wie lange telefoniert hat.
Anders als bei der Meldepflicht geht es nicht so sehr um wirtschaftliche nationale Interessen, sondern primär um den Schutz der personenbezogenen Daten. Denn bereits die Verkehrs- und Verbindungsdaten sind hochsensibel, da sich aus ihnen weitreichende Rückschlüsse auf Vorlieben und Hintergründe der jeweiligen Person finden lassen (hierzu ein interessantes Experiment).
Zudem sollen Netzbetreiber eine Zuverlässigkeitsprüfung, ähnlich der für Stromversorger, ablegen müssen.