IT-Sicherheitsgesetz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein am 25.07.2015 in Kraft getretenes Gesetz[1] der deutschen Bundesregierung und resultiert nach Angaben des Bundesinnenministeriums aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie[2]. Zwar gibt es in Deutschland bereits mit der Allianz für Cyber-Sicherheit ein auf Freiwilligkeit beruhendes Verfahren zur Meldung von IT-Sicherheitsvorfällen der Wirtschaft. Dies soll aber nun gesetzlich vorgeschrieben werden. In der Verwaltung selbst werden, entsprechend der IT-Sicherheitsleitlinie des IT-Planungsrates, über den Verwaltungs-CERT-Verbund (VCV) zwischen Bund und den Ländern entsprechende Sicherheitinformationen ausgetauscht. Aber auch hier soll eine Meldepflicht der Länder gegenüber dem BSI auf Ebene des IT-Planungsrates eingeführt werden.

Inhalt

Mit dem Gesetz sollen die Betreiber besonders gefährdeter Infrastrukturen (sogenannten Kritischen Infrastrukturen) wie Energie, Wasser, Gesundheit oder Telekommunikation verpflichtet werden, Ihre Netze besser vor Hacker-Angriffen zu schützen. Neben der dann obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI genehmigt werden. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Das IT-Sicherheitsgesetz beantwortet jedoch noch nicht die Frage, welche Unternehmen konkret als Kritischen Infrastrukturen im Sinne des Gesetzes gelten. Das Gesetz definiert Kritischen Infrastrukturen lediglich abstrakt. Für jede relevante Branche aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, sollen eigene Rechtsverordnungen zur Klärung dieser Fragestellung erstellt werden.

Ein erster Entwurf einer solchen Rechtsverordnung (Referentenentwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)) für die Sektoren Energie, Ernährung, und Wasser sowie teilweise Informationstechnik/Telekommunikation liegt nun vor[3]. Als Bemessungsgrundlage wird auf die sogenannte 500.000-er-Regel zurückgegriffen: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen entsprechenden Schwellenwert umgerechnet (z.B. 500.000 Verbraucher verbrauchen ca. 420 MW Strom pro Jahr; 500.000 Kunden verbrauchen 355 Mio. Liter Kraftstoff pro Jahr; 500.000 Kunden verbrauchen jährlich 21,9 Millionen m³ Trinkwasser, 334.000 Tonnen Nahrungsmittel und 274,5 Mio. Liter Getränke ...). Insgesamt rechnet man mit 700 betroffenen Anlagen.

Eine Ausnahme bildet der Sektor Informationstechnik/Telekommunikation. Da hier die 500.000-Regel nur unvollständig (d.h. nur bei den Trust Centern mit dann umgerechnet über 10.000 verwalteten Zertifikaten) angewendet werden kann, sind alle Rechenzentren mit einer Jahresdurchschnittsleistung von 5 Megawatt, Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen oder 250.000 verwaltete Domains sowie Content-Lieferer betroffen, die mehr als 75.000 Terabytes im Jahr ausliefern. Damit sollen ganze 30 Rechenzentren, Server-Farmen und Trustcenter meldepflichtig werden. Bei der Telekommunikation verweist die geplante Rechtsverordnung im Wesentlichen auf das Telekommunikationsgesetz (TKG), in dem als Ausprägung der EU-Zugangsrichtlinie die Meldepflichten für diesen Teilsektor bereits geregelt sind[4].

Für die Betreiber von Kernkraftwerken ergibt sich die Meldepflicht ebenfalls bereits direkt aus dem Gesetz. In den Sektoren Transport und Verkehr, Gesundheit sowie für das Finanz- und Versicherungswesen sind allerdings die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen.

Der Entwurf mit den jetzt bekannt gemachten Details zu den ersten vier Branchen wird nun an die Bundesländer und Branchenverbände zur Stellungnahme weitergeleitet, eine Expertenanhörung soll folgen. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) signalisierte grundsätzliche Zustimmung, sieht aber auch Nachbesserungsbedarf[5].

Am 13. April 2016 hat das Bundeskabinett diese erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes beschlossen, die am 03.Mai 2016 in Kraft trat.


Stand

Bereits in der vergangenen Legislaturperiode hatte die damalige Bundesregierung einen ersten Entwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht. Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren - auch wegen Widerständen der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Hackern werden. Sie hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht.

Mit einem veränderten Entwurf aus Mitte 2014 will nun die Regierung dies in den meisten Fällen zugestehen - nämlich dann, wenn eine Firma einen Cyberangriff bemerkt, dadurch aber keine größeren Störungen entstehen. Kommt es dagegen zu einer Beeinträchtigung oder sogar zu einem Ausfall der kritischen Infrastruktur, muss der Betreiber bei der Meldung den Namen nennen. Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen. Die Behörde soll außerdem einmal im Jahr einen Bericht zum Stand der IT-Sicherheit in Deutschland vorlegen.

Weiterhin sollen die Firmen aus diesen sensiblen KRITIS-Bereichen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Diese Standards müssen vom BSI abgesegnet werden und in Zukunft sollen die Firmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Die Zuständigkeit des BKA soll auf bestimmte Cyberdelikte ausgeweitet werden, für die bislang noch die Länder verantwortlich sind. Die Zuständigkeit des BKA für die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung wird über die bereits bestehende Zuständigkeit für Straftaten nach § 303b StGB (Computersabotage) hinaus ausgedehnt. Dies betrifft im einzelnen Straftaten nach §§ 202a-202c (Vorbereiten und Durchführen des Ausspähens und Abfangens von elektronischen Daten), 263a (Computerbetrug) und 303a (Datenveränderung) des StGB, also eigentlich eine vermeintlich schon längst fällige logische Konsequenz der Zuständigkeit des BKA für Computersabotage-Straftaten.

Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. Internet- oder E-Mail-Anbieter etwa sollen verpflichtet werden, ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen. Telekommunikationsanbieter werden auch angewiesen, Nutzer auf Sicherheitsprobleme in deren Geräten hinzuweisen, wenn diese z.B. entsprechende Malware-Kommunikationsverbindungen identifizieren[6].

Außerdem sind für die zuständigen Sicherheitsbehörden (BSI, BKA, BfV, BBK) mehr Geld (mehr als 20 Millionen Euro) und Personal eingeplant.

Nach Vorlage des Gesetzesentwurfes durch das Bundesinnenministerium erfolgte die Abstimmung zwischen den Ressorts; am 17.12.2014 beschloss das Bundeskabinett eine etwas abgeänderte Fassung[7]. Dabei wurden die aus Datenschutzsicht umstrittenen Passagen wieder gestrichen.

Am 12.06.2015 beschloss der Bundestag das IT-Sicherheitsgesetz mit den per Änderungsantrag von Unions- und SPD-Fraktion mit aufgenommenen Sanktionsdrohungen gegen die Unternehmen sowie dem Zusatz, dass auch die internen IT-Stellen von Bundesbehörden Protokoll- und Schnittstellendaten an das BSI übermitteln müssen[8]. Das Gesetz soll nach vier Jahren evaluiert werden. Zuvor hatten die Grünen vergeblich versucht, das Gesetz noch zu stoppen[9]. Zwischenzeitlich stimmte auch der Bundesrat trotz mehrerer Bedenken dem Gesetz zu[10].


Kritiken

Die im Sommer 2014 vorgelegte BDI-Studie bemängelte erneut die vermuteten hohen Bürokratiekosten und mögliche Rufschädigungen. Allerdings setze man nun auf eine Kompromisslösung durch eine Pseudonymisierung der Meldepflicht über einen Treuhänder. Eine solche Lösung solle es dem BSI ermöglichen, das gewünschte Lagebild zu erstellen, und minimiere zugleich das Risiko von Reputationsschäden für meldenden Unternehmen. Damit wird ein IT-Sicherheitsgesetz nicht mehr generell abgelehnt.

Der Cyber-Sicherheitsrat Deutschland e.V. hält auch die neue Fassung des Gesetzentwurfes für unzureichend[11] und nicht verfassungskonform[12]. Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung kritisiert den neuen Gesetzesentwurf ebenfalls als "nicht verfassungsgemäß"[13]. In Wissenschaftskreisen (siehe Prof. Dr. Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht am Institut für IT-Sicherheit und Sicherheitsrecht der Universität Passau sowie Prof. Dr. Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel) wird das IT-Sicherheitsgesetz zwar begrüßt, handwerklich aber großer Nachbesserungsbedarf gesehen. So sei es nicht absehbar, wer als Betreiber einer "kritischen Infrastruktur" unter das Gesetz falle. Dies erst später per Rechtsverordnung zu erlassen widerspricht Art. 80 des Grundgesetzes. Zudem seien klare Konturen für Meldepflichten notwendig, um eine Meldeflut zu verhindern und "Selbstanzeigen" zu vermeiden. Da z.B. datenschutzrelevante Sicherheitsvorfälle nach Telemedien- und Telekommunikationsgesetz schon jetzt an die Datenschutzbehörden zu melden sind, sollte eine Meldeweg-Harmonisierung erreicht werden. Auch sei der EU-Kontext (NIS-Richtlinie, s.u.) im Gesetzentwurf nicht ausreichend gewürdigt worden und die Schaffung der vorgesehenen branchenspezifischen Mindestsicherheitsstandards auslegungsbedürftig. Zudem müsse das BSI unabhängig sein, beispielsweise kann nicht auf der einen Seite am Staatstrojaner gearbeitet [14] und auf der anderen Seite entsprechende Abwehrmaßnahmen an Nutzer weitergegeben werden.

Von Länderseite wird teilweise auf unbestimmte Rechtsbegriffe (bei Meldepflichten, Abgrenzung zu "unkritischen" Infrastrukturen) und Auslegungsbedürftigkeit hinsichtlich der Betroffenheit des öffentlichen Sektors (z.B. kommunale Stadtwerke, Landeskliniken) hingewiesen. Deshalb wird eine Zustimmungspflicht der Länder zur Rechtsverordnung, die den Kreis der Kritischer Infrastrukturen festlegt, verlangt. Weitere Nachbesserungen der Gesetzesbegründung bei grundrechtsrelevanten Eingriffen werden für erforderlich gehalten. Hinzu kommt, dass nach Grundgesetz grundsätzlich die Regelungen betreffend des Katastrophenschutzes der Zuständigkeit der Länder unterfallen. Hier wird ein Zusammenhang zu kritischen Infrastrukturen gesehen. Zudem werde die Stellung des BSI als Beratungsinstitution aufgegeben, das BSI wäre dann nicht mehr der „Ansprechpartner“ für die Bürger sowie die Wirtschaft. Zudem seien die vorgesehenen Informationspflichten des BSI an die zuständigen Aufsichtsbehörden der Länder oder benannten Kontaktbehörden weiter zu konkretisieren. Auch eine Änderungen des Bundeskriminalamtgesetzes sei nicht notwendig, da entgegen der Gesetztesbegründung die Verfolgung von Straftaten bundesweit klar geregelt ist, ohne dass die örtliche Zuständigkeit von einem Zufall abhinge. Letztendlich bleibt der Entwurf hinter den Vorgaben des Vorschlags der EU-Richtlinie zur Netz- und Informationssicherheit zurück.

Von Datenschutzseite wird bemängelt, dass trotz unterschiedlicher Normenadressaten die vorgesehene Neuregelung des Telemediengesetzes (TMG) eine ähnliche präventive Schutzrichtung aufweist, wie der seinerzeit dem Vorratsdatenspeicherungsurteil zugrunde liegende Neuregelungsentwurf des Telekommunikationsgesetzes (TKG). Die in § 15 Absatz 9 TMG neu geregelten Eingriffsvoraussetzungen für die Erhebung und Verwendung von Nutzerdaten gehen dabei wegen der Möglichkeit umfassender Surfprofil-Erstellungsmöglichkeiten weit über die Verwendungsmöglichkeiten von Telekommunikationsverkehrsdaten hinaus, weil sie auch die Inhalte der Telemediennutzung betreffen. Demgegenüber sind wichtige Anforderungen aus dem Urteil des Bundesverfassungsgerichtes zur Vorratsdatenspeicherung nicht berücksichtigt. Deshalb sollte der Gesetzentwurf an dieser Stelle überarbeitet werden. Dieser Forderung wurde in der vom Bundeskabinett beschlossenen Fassung entsprochen.

Allerdings soll nun per IT-Sicherheitsgesetz auch § 100 Absatz 1 des TKG so geändert werden, dass Telekommunikationsanbieter die erweiterten Befugnisse erhalten sollen, Nutzungsdaten zu "erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen." Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben. In den Beratungen des Bundesrates wird deshalb von der überwiegenden Mehrheit der Bundesländer eine Streichung verlangt.

Der Bitkom hat positiv auf den Regierungsentwurf reagiert, bemängelt jedoch den erst über eine noch fehlende Verordnung bestimmten Geltungsbereich kritischer Infrastrukturen. Der Verband der deutschen Internetwirtschaft eco sieht nach wie vor offene Fragen bezüglich der Kritische Infrastrukturen beim Zusammenspiel mit der EU-Richtlinie zur Netzwerk- und [15]. InformationssicherheitDer BDI appelliert an die Bundesregierung, unterschiedliche Vorgaben im IT-Sicherheitsgesetz und die NIS-Richtlinie, insbesondere beim Anwendungsbereich und den Sanktionen sowie z.T. bei Veröffentlichungen, unter allen Umständen zu vermeiden. Außerdem ist der BDI (wie auch Bitkom[16]) gegen die neu aufgenommenen Sanktionsdrohung im IT-Sicherheitsgesetz[17].

Die KRITIS-Beteiber bemängeln, dass sie alleine überhaupt nicht in der Lage seien, ein Software-Update beispielsweise bei einer Sicherheitslücke zu generieren. Dazu bedarf es der Mitwirkung der Hersteller, die hier zumindest hier unterstützen müssten.

Vom CCC wurde bei einer Anhörung auf die Unbestimmtheit der im Gesetzentwurf enthaltenen Begrifflichkeiten "Stand der Technik" bzw. "Berücksichtigung des Standes der Technik" und "erheblicher Sicherheitsvorfall" sowie auf die multinationale Dimension der Problematik hingewiesen.

Dagegen begrüßte der Sächsische Verband für Sicherheit in der Wirtschaft (SVSW) und TeleTrusT das neue IT-Sicherheitsgesetz als ersten Schritt, um die durch Cyberkriminalität jährlich steigenden Schäden in Deutschland kurzfristig einzudämmen und mittelfristig zu reduzieren[18][19].


Geplante EU-Richtlinie zur Netz- und Informationssicherheit

In eine ähnliche Richtung zielt auch der EU-Richtlinienentwurf zur Informations- und Netzsicherheit(NIS)[20]. Die Mitgliedstaaten sollen zunächst eine Strategie für Netzwerk- und Informationssicherheit erstellen und eine Fachbehörde für Cybersicherheit einrichten. Ebenfalls sollen größere IT-Sicherheitsvorfälle an die Fachbehörde gemeldet werden, allerdings kann im Unterschied zum geplanten deutschen IT-Sicherheitsgesetz die Fachbehörde zusätzlich die Vorfälle selbst untersuchen und verbindliche Anweisungen den Betreibern der IT-Infrastrukturen erteilen. Auch können solche Vorfälle öffentlich bekannt gemacht werden. Die Fachbehörden der Mitgliedstaaten sollen zudem zusammenarbeiten und Informationen untereinander austauschen können (über die ENISA) sowie EU-Kommission ständig unterrichten.

Ein weiterer gravierender Unterschied zum deutschen IT-Sicherheitsgesetz ist der Adressatenkreis. Während im IT-Sicherheitsgesetz auch die Sektoren Wasserversorgung und Ernährung erfasst werden, sind die Telemediendiensteanbieter nicht mit einbezogen.

Am 13.03.2014 wurde durch das EU-Parlament die Direktive angenommen, die Zustimmung des Rates steht allerdings noch aus. Zur ursprünglichen Fassung sind wesentliche Änderungen in der Zielrichtung und Geltungsbereich eingearbeitet worden[21]. Die öffentliche Verwaltung wird, auf Grund der bestehenden Unterschiede in der Verwaltungsstruktur der EU-Mitgliedsländer sowie der sowieso bestehenden Sorgfaltspflicht beim Betrieb und Schutz von IT-Netzen, quasi ausgenommen (Erwägung 4 und 10a). Damit werden zentrale Punkte der Direktive (Artikel 14 und 15) nur noch für Unternehmen wirksam sowie auch eine Einordung des geplanten deutschen IT-Sicherheitsgesetz möglich. Allerdings steht es den EU-Mitgliedsstaaten frei, auch Artikel 14 und 15 für ihre eigenen Verwaltungen anzuwenden.

Der EU-Rat will dagegen u.a. komplett Behörden und Ämter nicht verpflichten, Sicherheits- und Datenschutzpannen sowie IT-Angriffe zu melden. Die lettische Ratspräsidentschaft hat daraufhin sich Mitte 2015 mit dem EU-Parlament auf Grundzüge eines Kompromisses verständigt[22].

Ende 2015 wurde nun der gemeinsame Entwurf von EU-Kommission, EU-Rat und EU-Parlament vorgelegt. Die IT bei Betreibern kritischer Infrastrukturen und den großen Online-Dienstleistern soll sicherer gemacht werden. Die betroffenen Firmen aus den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet sollen demnach verpflichtet werden, IT-Angriffe sowie Sicherheits- und Datenschutzpannen zu melden. Konkret werden Verkehrsknoten, Domain-Registrierungsstellen, Online-Marktplätze wie eBay oder Amazon, Suchmaschinen wie Google und Cloud-Anbieter aufgeführt, nicht jedoch etwa Betreiber sozialer Netzwerke wie Facebook. Kleine Digitalfirmen sowie der öffentliche Sektor sollen generell außen vor bleiben[23].


Kritiken am ersten Entwurf des IT-Sicherheitsgesetzes aus 2013

Bemängelt wurde am alten Entwurf des Gesetzes von juristischer Seite, dass trotz frappierenden inhaltlichen Überlappungen mit der jüngst im Bundesrat beratenen EU-Richtlinie zur Informations- und Netzsicherheit kein Abgleich bzw. Bezugnahme erfolgte. Ausfüllungsbedürftig dürften zudem die Begriffe "Betreiber kritischer Infrastrukturen" und "erheblicher Sicherheitsvorfall" sein. Das solle nicht erst einer Verordnung überlassen bleiben, wie es im Gesetzesentwurf vorgesehen ist. Zudem ist die nach Grundgesetz notwendige Zitierung von Grundrechtseinschränkungen im Hinblick auf Eigentum und Berufsausübung bei den Betreibern informationskritischer Infrastrukturen nicht enthalten. In diesem Zusammenhang wurde (analog wie beim strittigen E-Government-Gesetz) von einigen Ländern vorgebracht, dass darunter dann vielleicht doch auch öffentliche Stellen der Länder und Kommunen fallen könnten, etwa in den Bereichen Verkehr, Gesundheit, Wasser oder Ernährung, soweit diese Stellen den Betrieb der kritischen Infrastrukturen zumindest mitverantworten. Dabei wurde beispielsweise auf kommunale Stadtwerke mit Aufgaben in der Energie- und Wasserversorgung sowie auf kommunale und landeseigene Krankenhäuser und Kliniken verwiesen. Zudem könnte die im Grundgesetz verankerte Zuständigkeit der Länderpolizeien bei der Verfolgung von Straftaten eingeschränkt werden.

Die Datenschützer, wie der Bundesdatenschutzbeauftrage, halten die Pläne insgesamt für bedenklich und bemängeln, dass der Kampf gegen Cyber-Angriffe nicht die Rechtfertigung für eine ungebremste Datenspeicherung bzw. Vorratsdatenspeicherung sein darf[24]. Auch der Cyber-Sicherheitsrat Deutschland e.V. (nicht zu verwechseln mit dem Nationalen Cyber-Sicherheitsrat im Bundesinnenministerium) hält aus Sicherheitssicht einige Punkte des Gesetzentwurfes ebenfalls für bedenklich[25].

Auch die Wirtschaft, hier insbesondere der Internet- und IT-Zweig, ist gegen die Gesetzesentwurfspläne. Der IT-Branchenverband Bitkom sieht sogar eine Tendenz zur Überregulierung und Überscheidung. Er bezweifelt, dass überhaupt Handlungsbedarf besteht und verweist auf die nicht mal vor einem Jahr gegründete Allianz für Cyber-Sicherheit. Zudem gebe es auch noch die unter Federführung des Bundesministeriums für Wirtschaft und Technologie gebildete Task Force IT-Sicherheit in der Wirtschaft. Deshalb missfällt insbesondere die nun eingeplante Meldepflicht für alle Störungen der Verfügbarkeit und für weitere Zwischenfälle[26].

Das Bundeswirtschaftsministerium hatte sich gegen den vorliegenden Gesetzesentwurf ausgesprochen, so dass eine Verabschiedung vor der Bundestagswahl 2013 unwahrscheinlich geworden war[27].


Weblinks


Einzelnachweis

  1. "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)" in "Bundesgesetzblatt Teil 1 Nr. 31 vom 24. Juli 2015
  2. "Friedrich stellt Wirtschaft IT-Sicherheitsgesetz vor" in www.bmi.bund.de vom 13.März 2013
  3. "IT-Sicherheitsgesetz: Wer was wann zu melden hat" in heise.de/Security vom 08.Februar.2016
  4. "ENISA zieht Bilanz zu bisherigem Cybersecurity-Reporting" in heise.de/Security vom 26.März.2016
  5. SecuPedia Aktuell: "KRITIS-Verordnung": TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf
  6. "IT-Sicherheitsgesetz Teil 2 - Was ist zu tun?" in "Alyned Thinking" vom 14. August 2015
  7. "Innenminister veröffentlicht Entwurf für IT-Sicherheitsgesetz" in heise.de/Security vom 19.August. 2014
  8. SecuPedia Aktuell: Bun­des­tag ver­ab­schie­det IT-Si­cher­heits­ge­setz
  9. SecuPedia Dokumentation: Entschließungsantrag der Grünen zum IT-Sicherheitsgesetz
  10. SecuPedia Aktuell: Bundesrat stimmt IT-Sicherheitsgesetz zu
  11. "CSRD e.V. Pressemitteilung: IT-Sicherheitsgesetz unzureichend" in Webseite CSRD e.V. vom 25.September 2014
  12. "CSRD e.V. Pressemitteilung: IT – Sicherheitsgesetz nicht verfassungskonform" in Webseite CSRD e.V. vom 19.März 2015
  13. "FIfF kritisiert Entwurf des IT-Sicherheitsgesetzes als mangelhaft und verfassungswidrig" in Webseite FIfF vom 12.Februar 2015
  14. Beitrag "Geheimpapiere: BSI entwickelte Bundestrojaner mit" vom 17.03.2015 von Heise-Online
  15. "IT-Sicherheitsgesetz: Kritik an "Aufrüstung", Warnung vor "nationalem Alleingang" in heise.de/Security vom 18.Dezember.2014
  16. SecuPedia Aktuell: Bitkom sieht Strafen im IT-Sicherheitsgesetz kritisch
  17. SecuPedia Aktuell: BDI gegen Sanktionsdrohung im IT-Sicherheitsgesetz
  18. SecuPedia Aktuell: SVSW begrüßt IT-Sicherheitsgesetz
  19. SecuPedia Aktuell: TeleTrusT: IT-Sicherheitsgesetz nur ein erster Schritt
  20. "EU-Richtlinienentwurf zur Informations- und Netzsicherheit(NIS)" vom 07.Februar 2013
  21. "Vorläufige Ausgabe der NIS-Direktive mit den jeweiligen Änderungen" vom 13.März 2014
  22. "EU-Kompromiss zu Meldepflichten bei Cyberangriffen steht" vom 30.Juni 2015
  23. "Grünes Licht für neues EU-Gesetz zur Cybersicherheit" vom 08.Dezember 2015
  24. "Datenschützer Schaar: Pläne zur Abwehr von Cyber-Angriffen bedenklich" in heise.de/Security vom 30.März 2013
  25. "CSRD e.V. Pressemitteilung: Entwurf des IT-Sicherheitsgesetzes unausgereift" in Webseite CSRD e.V. vom 11.März 2013
  26. "Wirtschaft wettert gegen geplantes IT-Sicherheitsgesetz" in heise.de/Security vom 02.April 2013
  27. "Bericht: Zwist in der Bundesregierung über Meldepflicht für Cyberangriffe" in heise.de/Security vom 05.Juni 2013


Siehe auch



Diese Seite wurde zuletzt am 4. Mai 2016 um 11:37 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl, Markus Albert, Stefan Sulistyo, Dennis Schreiber und Alexander Gilmer.

Anzeigen