Hackerangriff (Symbolbild) (Foto: Imago/Westend61)

FAQ: Was ist das IT-Sicherheitsgesetz?

Thomas Braun / mit Informationen von Nelly Theobald   13.03.2019 | 10:27 Uhr

Der Landtag hat am Mittwoch mit großer Mehrheit das neue IT-Sicherheitsgesetz für das Saarland zu weiteren Beratungen an den zuständigen Ausschuss überwiesen. Gerade aus Datenschutzsicht enthält das neue Gesetz durchaus brisante Passagen. Warum ist es nötig, was genau wird darin geregelt und wer ist betroffen? Wir haben Antworten auf die wichtigsten Fragen zusammengestellt.

Was regelt das neue Gesetz?

Ob beim Finanzamt, beim Grundbuchamt, bei der Polizei oder in der Justiz: Bei vielen Landesbehörden werden teils sehr sensible Daten gespeichert. Mit dem neuen Gesetz wird eine rechtliche Grundlage dafür geschaffen, dass das Land sein Datennetz und damit verbundene Systeme adäquat gegen Angriffe verteidigen darf. Außerdem werden Behörden dazu verpflichtet, die Sicherheit ihrer IT-Infrastruktur zu gewährleisten. Diese Aufgabe übernimmt für das Land der zentrale IT-Dienstleister. Die Aufgabe als IT-Sicherheitsbeauftragter wird dem Direktor des Landesamtes für zentrale Dienste übertragen.


Gab es schon Angriffe auf das saarländische Datennetz?

Laut dem Bundesamt für Sicherheit in der Informationstechnik gibt es täglich Angriffe auf Regierungsnetze in Deutschland. So werden bundesweit alleine durch Antivirus-Programme pro Monat durchschnittlich 28.000 Mails mit Schadprogrammen abgefangen. Solche unspezifischen Angriffe gibt es laut dem saarländischen Finanzministerium auch im Saarland. Gezielte Attacken, wie beispielsweise der Anfang 2018 bekannt gewordene Angriff über das Auswärtige Amt auf das deutsche Regierungsnetz, sind im Saarland bislang aber noch nicht festgestellt worden.


Wer ist von dem Gesetz betroffen?

Zunächst einmal ist jeder Bürger betroffen: Denn zum einen ist es ja das Ziel, die bei Behörden gespeicherten Daten - darunter auch sensible Daten von Bürgern - zu schützen. Zum anderen räumt das Gesetz dem zentralen IT-Dienstleister aber auch das Recht ein, in einem Angriffsfall auf personenbezogene Daten zuzugreifen und diese auszuwerten. Und dabei geht es nicht nur um die Mail-Konten von Behördenmitarbeitern, sondern auch um möglicherweise gehackte Konten von Außenstehenden, von denen ein Angriff auf das Landesnetz erfolgt. Es ist allerdings nicht so, dass künftig im Verdachtsfall der komplette private Mailverkehr eines Kontos eingesehen werden könnte - sondern laut Finanzministerium handelt es sich nur um den Datenverkehr zwischen dem gehackten Konto und dem Landesnetz.


Wie wird der Datenschutz gewährleistet?

Das neue Gesetz stellt einen Eingriff in Grundrechte dar - insbesondere das Fernmeldegeheimnis: "Natürlich ist das datenschutzrechtlich nicht ganz einfach, wenn man plötzlich einer zentralen Stelle Zugriff auf personenbezogene Daten von Behördenmitarbeitern gibt und von Leuten, die per E-Mail mit Behörden in Kontakt treten", erklärt Ninja Marnau vom Helmholtz-Zentrum für IT-Sicherheit, die die Ausarbeitung des Gesetzes beratend begleitet hat. "Deshalb haben wir versucht, in dem Gesetz möglichst viele Schranken einzuziehen."

So erfolgt die Auswertung zunächst nur automatisch, wie mit einem Virenscanner. Erhärtet sich der Verdachtsfall, können Inhalts- und Protokolldaten - nach der Zustimmung durch mehrere Stellen - aber auch manuell gelesen und ausgewertet werden und an die Polizei weitergeleitet werden. Die Betroffenen müssen allerdings informiert werden.

Auch das Landeszentrum für Datenschutz war frühzeitig in die Beratungen einbezogen. Ob die getroffenen Regelungen am Ende ausreichen, wird aber sicherlich noch einmal Thema in den weiteren Beratungen im Gesetzgebungsverfahren.

Über dieses Thema hat auch der aktuellen bericht am 12.03.2019 im SR Fernsehen berichtet.

Artikel mit anderen teilen


Push-Nachrichten von SR.de
Benachrichtungen können jederzeit in den Browser Einstellungen deaktiviert werden.

Datenschutz Nein Ja