Hackerangriffe: Bundesregierung streitet über Meldepflicht

Erstmals hatte am vergangenen Wochenende die Meldung für Wirbel gesorgt, dass die Europäische Kommission für bestimmte Branchen eine Meldepflicht für Cyberattacken einführen will. Die Nachrichtenagentur Reuters hatte von einem entsprechenden Konzept berichtet, von dem Internetanbieter Banken, Börsen sowie die Energie-, Gesundheits- und Verkehrsbranche betroffen wären. Nach Schätzungen der Kommission würde die Regelung für 44.000 Unternehmen gelten.

Am Ende dieser Woche nun wird die EU-Kommission die Vorschläge vorlegen. Das Wall Street Journal hat nach eigenen Angaben bereits vorab einen Blick in das Papier geworfen. “Informationssysteme können von Sicherheits-Vorfällen betroffen sein, verursacht durch menschliches Versagen, Naturereignisse, technische Fehler oder bösartige Hackerangriffe”, zitiert das Blatt aus dem Entwurf. “Diese Zwischenfälle werden größer, häufiger und komplexer.”

Die Tatsache, dass derzeit jedes EU-Mitglied eigene Regeln und Gesetze für den Kampf gegen Cyberkriminalität habe, würde diese Situation noch weiter verschärfen, schreiben die EU-Experten. Anstatt Informationen über mögliche Gefahren auszutauschen, würde jedes Land diese für sich behalten – aus Angst im Security-Vergleich mit anderen Mitgliedsstaaten schlecht abzuschneiden.

Die aktuelle Situation in der EU sei zudem geprägt von freiwilligen Vereinbarungen und der Selbstregulierung der Wirtschaft – dies sei aber nicht mehr ausreichend, um den europaweiten Schutz IT-Sicherheits-Vorfällen zu gewährleisten.

Die EU-Pläne sehen vor, dass jedes Land ein nationales Zentrum für Online-Sicherheit aufbaut. Diese würde die Zusammenarbeit und den Informationsaustausch zwischen den Ländern stärken. Ausdrücklich verweist die EU-Kommission laut WSJ auf die vorbildliche Arbeit, die Großbritannien, Dänemark, Finnland, die Niederlande und Schweden hier bereits jetzt leisten würden. Gemeinsame Abwehrmaßnahmen sollen dann auf EU-Ebene koordiniert werden. Erst Anfang Januar hatte in Den Haag das European Cybercrime Centre offiziell seine Arbeit aufgenommen.

In Deutschland gibt es bereits seit 2011 ein nationales Cyber-Abwehrzentrum. Bundesinnenminister Hans-Peter Friedrich hat zudem bereits vor einiger Zeit einen Gesetzentwurf für eine Meldepflicht für Firmen vorgelegt. Darüber hinaus will Friedrich Firmen verpflichten, Sicherheitssysteme aufzubauen, die dann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgenommen werden.

Das Bundeswirtschaftsministerium will nach Reuters-Informationen die geplante Meldepflicht aber verhindern. Dort fürchte man erhebliche Belastungen für die deutsche Wirtschaft. Zudem sehe man in dem FDP-geführten Ministerium in vielen Branchen, die von dem Gesetz betroffen wären, keinen Handlungsbedarf, etwa im Energiesektor oder der IT-Branche.

Viele Sicherheitsexperten allerdings fordern bereits seit Jahren eine Meldepflicht. Auch wenn Firmen oft um ihre Betriebsgeheimnisse und vertrauliche Daten fürchten .

Wieland Alge, Europachef des Netzwerkspezialisten Barracuda Networks, will das in einer aktuellen Stellungnahme nicht gelten lassen: “Jedes Stück vertraulicher Information über uns und unser Verhalten kann für gezielte Spear-Phishing-Attacken eingesetzt werden. So geschehen etwa beim Hack der Redaktionssysteme der New York Times. Deswegen: ja, der erwartete Entwurf der Cyber-Sicherheitsstrategie der Europäischen Union muss die Verpflichtung zum Melden von Angriffen auf private Unternehmen enthalten. Denn bislang haben sie nicht die Weisheit besessen, sich selber dazu zu verpflichten und sich daran zu halten.”