Die Bundesregierung hält es für notwendig, rechtliche Unsicherheiten bei der Aufdeckung von IT-Schwachstellen zu beseitigen. Das sieht der Entwurf für eine neue Cybersicherheitsstrategie vor, der an diesem Mittwoch vom Kabinett beschlossen werden soll.
In dem Entwurf, der der Deutschen Presse-Agentur vorliegt, heißt es: «In der Praxis besteht bis heute kein allgemein gültiger Rahmen, der beschreibt, welche Akteure in welchem Umfang und mit welchen Methoden und Instrumenten Sicherheitslücken finden und den Herstellern melden dürfen.»
Während einige Unternehmen einen finanziellen Anreiz für ein koordiniertes Vorgehen böten, gingen andere Firmen gerichtlich gegen das Aufdecken vor, weil sie ihre Rechte verletzt sähen. Dadurch sei eine Unsicherheit entstanden, die dazu führe, dass gewisse Softwareprodukte nicht mehr untersucht würden oder dass Erkenntnisse zu Sicherheitslücken nicht rasch den Herstellern gemeldet würden.
Um Anwender, Kritische Infrastruktur und Institutionen von besonderem öffentlichen Interesse besser vor Cyberangriffen zu schützen, solle das Bundesamt für Sicherheit in der Informationstechnik (BSI) als «neutrale und fachlich kompetente Vermittlungsinstanz» unterstützen. Dabei werde sichergestellt, dass vertrauliche Detailinformationen über Sicherheitslücken nicht an Unbefugte gelangen, bevor entsprechende Updates zu ihrer Beseitigung vorliegen.
Wie aus einer im August veröffentlichten Studie des Digitalverbandes Bitkom hervorgeht, waren in den Jahren 2020 und 2021 fast neun von zehn Unternehmen von Datenklau, Spionage oder Sabotage betroffen. Vor allem Fälle, in denen Informations- und Produktionssysteme von Erpressern lahmgelegt werden, nahmen den Angaben zufolge stark zu.
Die Bundesregierung hatte 2011 eine erste Cybersicherheitsstrategie vorgelegt, die 2016 fortgeschrieben wurde. Die ressortübergreifende Cybersicherheitsstrategie 2021 setzt den Rahmen für die kommenden fünf Jahre.
dpa