IT-Sicherheitsgesetz

Cyberangriffe in Deutschland bald meldepflichtig?

Web
28.07.2014 09:54
Die deutsche Regierung will der gestiegenen Zahl von Cyberangriffen auf die Wirtschaft den Kampf ansagen. Innenminister Thomas de Maiziere wird dazu in den nächsten Wochen ein IT-Sicherheitsgesetz vorlegen. Dieses sieht vor, dass Unternehmen, die für das Gemeinwohl als besonders sensibel gelten, schwere Attacken künftig an eine zentrale Stelle melden müssen. Die Firmen fürchten dadurch erhebliche Nachteile und versuchen mit Hochdruck, Einfluss auf den Gesetzesentwurf zu nehmen.

Die Bedrohung durch Cyberattacken gehört für deutsche Unternehmen inzwischen zum Alltag. 64.400 Fälle solcher Angriffe wurden im vergangenen Jahr in Deutschland polizeilich erfasst. Hinzu kommen unzählige abgefangene oder nicht gemeldete Zugriffe. Einer Umfrage des Branchenverbands Bitkom zufolge verzeichnete in den vergangen zwei Jahren jedes dritte Unternehmen Attacken auf seine IT-Systeme. Wie jüngst bei der Europäischen Zentralbank, wo mehrere tausend Kontaktdaten von Personen abgefischt werden konnten, gelingt es Hackern immer häufiger, Sicherheitslecks gezielt auszunutzen.

Bei so viel krimineller Energie ist die Befürchtung groß, dass durch die immer raffinierter werdenden Angriffe die Strom- oder Wasserversorgung lahmgelegt, Flughäfen zum Erliegen gebracht oder Bankdaten und strenggeheime Rüstungsinformationen entwendet werden könnten. Um solche Horrorszenarien zu verhindern, soll das Bundesinstitut für Sicherheit in der Informationstechnologie aus den gemeldeten Attacken künftig ein Lagebild erstellen und Schutzvorkehrungen treffen.

Unter die Meldepflicht sollen neben IT- und Telekommunikationsfirmen auch Energie- und Wasserversorger, Unternehmen aus dem Rüstungs-, Verkehrs-, Gesundheits- und Ernährungssektor sowie dem Finanz- und Versicherungswesen gehören, die allesamt zu den kritischen Infrastrukturen gerechnet werden, wie aus internen Unterlagen hervorgeht. Eine erfolgreiche Attacke gegen sie hätte schwere Folgen, etwa in Form von Versorgungsengpässen.

Unternehmen befürchten negative Konsequenzen
Die IT-Expertin des Deutschen Industrie- und Handelskammertags, Katrin Sobania, gibt allerdings zu bedenken, dass Firmen vor einer Meldung stets mögliche Konsequenzen für das Unternehmen prüfen müssten. Börsennotierte Unternehmen wären unter Umständen sogar verpflichtet, ihre Aktionäre zu warnen. "Im Extremfall hätte die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst."

Nach Ansicht des Bitkom muss die Anonymität der meldenden Firmen daher gewahrt sein. "Nur so können Reputationsverluste der Unternehmen vermieden werden", sagt Bitkom-Präsident Dieter Kempf. Die Industrie- und Handelskammern könnten hier als neutrale Stelle fungieren, regt Sobania an.

Der Bundesverband der Deutschen Industrie fordert indes ein Verfahren, bei dem die Unternehmen die Vorfälle an einen unabhängigen Treuhänder melden. Dieser gibt die Informationen dann weiter, ohne den Namen der Firma zu nennen. Auf diese Weise könnte die Behörde über den Treuhänder auch Rückfragen an das Unternehmen richten.

Über 18.000 Unternehmen von Meldepflicht betroffen
Bleibt es bei den zehn genannten Branchen, wären 18.466 Unternehmen betroffen, wie eine Studie im Auftrag des Bundesverbands der Deutschen Industrie ergab. Davon stammen 13.800 allein aus dem Energiesektor, 1.360 aus dem Verkehrs- und Transportgewerbe sowie 1.110 aus dem Gesundheitsbereich.

Pro Jahr fielen dadurch Bürokratiekosten für die Wirtschaft im Volumen von 1,1 Milliarden Euro an. Der Verband mahnt die Regierung daher, genau zu bestimmen, auf welche Sektoren sich das Gesetz beziehen solle. Mitunter könne auch innerhalb der Branchen je nach Geschäftsmodell und Tätigkeitsbereich unterschieden werden.

Bisher können Attacken auf freiwilliger Basis beim Bundesinstitut für Sicherheit in der Informationstechnologie angezeigt werden. Die Deutsche Telekom erstellt wie andere Unternehmen zudem eigene Lagebilder, indem sie Hacker in simulierte Sicherheitslücken lockt. Durch diese digitalen Fallen - sogenannte Honeypots - werden einem Sprecher zufolge inzwischen 800.000 Attacken auf das Telekom-Netz pro Tag registriert, mit Tendenz zu einer Million täglich.

Stoff für politische Debatten
Fest steht bereits, das IT-Sicherheitsgesetz wird viel Stoff für politische Debatten bieten. Innenminister De Maiziere strebt daher an, den Entwurf in einem "breiten Informations- und Beteiligungsprozess" öffentlich zu beraten - noch bevor er vom Kabinett behandelt werden soll. Außer der Meldepflicht sollen dort auch Sicherheitsmindeststandards für Firmen vorgeschrieben werden.

Die Regierung will den Kampf mit der Industrie aufnehmen. Es dürfe nicht immer die Angst der Unternehmen vor einer Rufschädigung im Mittelpunkt stehen. Vielmehr müssten die Gefahren offensiv angegangen werden, betonte sie unlängst.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele