Gesetzentwurf stärkt Befugnisse zur Abwehr von Cyberangriffen

Cyberangriffe auf staatliche Strukturen, kritische Infrastrukturen und wichtige Unternehmen nehmen nach Darstellung der Bundesregierung in Qualität und Quantität zu. Angesichts der geopolitischen Lage und hybrider Bedrohungen soll der Entwurf die rechtlichen Grundlagen für Erkennung, Aufklärung und Abwehr solcher Angriffe ausbauen. Der Gesetzentwurf bezieht dabei neben der Bundesverwaltung auch die Bundeswehr an mehreren Stellen ausdrücklich in den Schutz der Informationstechnik und in den Informationsaustausch ein.

Erweiterte Rolle des BSI

Das Bundesamt für Sicherheit in der Informationstechnik soll zusätzliche Möglichkeiten erhalten, die Resilienz der Informationstechnik der Bundesverwaltung im Cyberraum zu erhöhen. Im BSI-Gesetz sollen Bezüge zur Bundeswehr ergänzt werden, etwa bei Regelungen zur Kommunikationstechnik des Bundes.?Der Entwurf sieht außerdem vor, die Datengrundlage für Angriffserkennungssysteme und für die Bewertung der aktuellen Bedrohungslage zu verbessern. Anbieter öffentlich zugänglicher Telekommunikationsdienste und digitaler Dienste sollen dem BSI auf Anforderung sicherheitsrelevante technische Informationen bereitstellen, soweit dies technisch möglich und wirtschaftlich zumutbar ist. 

Maßnahmen gegen schädliche Infrastruktur 

Ein Schwerpunkt liegt auf dem Vorgehen gegen maliziöse Domains und schädlichen Datenverkehr. Die bestehenden Möglichkeiten des BSI zur Umleitung von Datenverkehr sollen an veränderte Nutzungsbedingungen angepasst und auf weitere zentrale Diensteanbieter erweitert werden.?Zudem sollen DNS-Diensteanbieter ihren Nutzerinnen und Nutzern einen DNS-basierten Schutz vor Angriffen im Zusammenhang mit sicherheitsriskanten Domains anbieten. Anbieter digitaler Dienste sollen Informationen des BSI über konkrete Gefahren, die ihre Kundinnen und Kunden betreffen, weitergeben müssen. 

Neue Befugnisse für BKA und Bundespolizei 

Das Bundeskriminalamt und die Bundespolizei sollen klare Befugnisse zur Abwehr von Cyberangriffen erhalten. Dazu zählen die Untersagung des Betriebs informationstechnischer Systeme, die Umleitung, Einschränkung oder Unterbindung von Datenverkehr sowie das Auslesen, Löschen oder Verändern gefahrgegenständlicher Daten.?Der Entwurf beschreibt solche Daten als Bestandteile von Schadprogrammen oder sonstigen Angriffswerkzeugen, einschließlich Steuerungs- oder Protokolldateien. Auch technische Spuren eines Angriffs sowie Daten, die selbst Gegenstand eines Angriffs sind, fallen darunter. 

Verteidigungsbezug im Informationsaustausch

Die neuen Regelungen verknüpfen Cyberabwehr und Verteidigungsaufgaben über festgelegte Übermittlungswege. Bundespolizei und BKA sollen Informationen, die sie im Zusammenhang mit der Abwehr von Angriffen auf die Sicherheit in der Informationstechnik erlangen, an die Bundeswehr weitergeben, wenn tatsächliche Anhaltspunkte bestehen, dass Aufgaben der Verteidigung betroffen sind. 

Auch das BSI soll Daten an die Bundeswehr übermitteln können, wenn Tatsachen eine Bedeutung für die Erfüllung von Verteidigungsaufgaben erkennen lassen. Damit wird der Informationsfluss zwischen zivilen Sicherheitsbehörden und Bundeswehr für Fälle geregelt, in denen Cyberangriffe sicherheits- oder verteidigungsrelevante Auswirkungen haben können. 

Klare Regeln für Eingriffe in IT-Systeme 

Eingriffe in private informationstechnische Systeme sollen nur unter besonderen Voraussetzungen möglich sein. Der Gesetzentwurf nennt unter anderem dringende Gefahren für den Bestand oder die Sicherheit des Bundes oder eines Landes, für Einrichtungen von wesentlicher Bedeutung für das Gemeinwesen oder die Verteidigung sowie für Leib, Leben oder Freiheit.?Für bestimmte Maßnahmen ist eine gerichtliche Anordnung vorgesehen. Bei Gefahr im Verzug kann die Anordnung durch zuständige Stellen getroffen werden, muss jedoch unverzüglich gerichtlich bestätigt werden. 

Reaktion auf vorbereitete Angriffe 

Der Entwurf regelt auch den Einsatz von Incident Response Teams bei sogenanntem Prepositioning. Gemeint ist das vorbereitende Platzieren von Hintertüren und Angriffsstrukturen in IT-Systemen.?Damit soll rechtlich gefasst werden, wie Sicherheits- und Funktionsfähigkeit betroffener Systeme wiederhergestellt werden können, wenn Angreiferinnen und Angreifer bereits Vorbereitungen für spätere Operationen getroffen haben. Solche Vorbereitungen können staatliche Strukturen, Verwaltung, kritische Anlagen oder verteidigungsrelevante Bereiche betreffen. 

Personal und Ausstattung 

Für die Umsetzung sieht der Entwurf zusätzlichen Personal- und Finanzbedarf vor. Beim BKA werden 49 Stellen im höheren Dienst und 215 Stellen im gehobenen Dienst genannt, verbunden mit einem jährlichen Bedarf von 33,94 Millionen Euro. Hinzu kommen fünf Millionen Euro jährlich für Hard- und Software sowie Betrieb, Wartung und Pflege.?Beim BSI entsteht laut Entwurf bis 2030 ein Mehrbedarf von 21 Stellen. Für die Bundespolizei sind über die Jahre 2027 bis 2031 insgesamt 90 zusätzliche Planstellen vorgesehen. Der Mehrbedarf an Personal- und Sachmitteln soll im Einzelplan 06 ausgeglichen werden. 

Quelle: Gesetzentwurf der Bundesregierung „Entwurf eines Gesetzes zur Stärkung der Cybersicherheit“, Bundestagsdrucksache 21/6585.