Di, 19. Juni 2018

IT-Sicherheitsgesetz

28.07.2014 09:54

Cyberangriffe in Deutschland bald meldepflichtig?

Die deutsche Regierung will der gestiegenen Zahl von Cyberangriffen auf die Wirtschaft den Kampf ansagen. Innenminister Thomas de Maiziere wird dazu in den nächsten Wochen ein IT-Sicherheitsgesetz vorlegen. Dieses sieht vor, dass Unternehmen, die für das Gemeinwohl als besonders sensibel gelten, schwere Attacken künftig an eine zentrale Stelle melden müssen. Die Firmen fürchten dadurch erhebliche Nachteile und versuchen mit Hochdruck, Einfluss auf den Gesetzesentwurf zu nehmen.

Die Bedrohung durch Cyberattacken gehört für deutsche Unternehmen inzwischen zum Alltag. 64.400 Fälle solcher Angriffe wurden im vergangenen Jahr in Deutschland polizeilich erfasst. Hinzu kommen unzählige abgefangene oder nicht gemeldete Zugriffe. Einer Umfrage des Branchenverbands Bitkom zufolge verzeichnete in den vergangen zwei Jahren jedes dritte Unternehmen Attacken auf seine IT-Systeme. Wie jüngst bei der Europäischen Zentralbank, wo mehrere tausend Kontaktdaten von Personen abgefischt werden konnten, gelingt es Hackern immer häufiger, Sicherheitslecks gezielt auszunutzen.

Bei so viel krimineller Energie ist die Befürchtung groß, dass durch die immer raffinierter werdenden Angriffe die Strom- oder Wasserversorgung lahmgelegt, Flughäfen zum Erliegen gebracht oder Bankdaten und strenggeheime Rüstungsinformationen entwendet werden könnten. Um solche Horrorszenarien zu verhindern, soll das Bundesinstitut für Sicherheit in der Informationstechnologie aus den gemeldeten Attacken künftig ein Lagebild erstellen und Schutzvorkehrungen treffen.

Unter die Meldepflicht sollen neben IT- und Telekommunikationsfirmen auch Energie- und Wasserversorger, Unternehmen aus dem Rüstungs-, Verkehrs-, Gesundheits- und Ernährungssektor sowie dem Finanz- und Versicherungswesen gehören, die allesamt zu den kritischen Infrastrukturen gerechnet werden, wie aus internen Unterlagen hervorgeht. Eine erfolgreiche Attacke gegen sie hätte schwere Folgen, etwa in Form von Versorgungsengpässen.

Unternehmen befürchten negative Konsequenzen
Die IT-Expertin des Deutschen Industrie- und Handelskammertags, Katrin Sobania, gibt allerdings zu bedenken, dass Firmen vor einer Meldung stets mögliche Konsequenzen für das Unternehmen prüfen müssten. Börsennotierte Unternehmen wären unter Umständen sogar verpflichtet, ihre Aktionäre zu warnen. "Im Extremfall hätte die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst."

Nach Ansicht des Bitkom muss die Anonymität der meldenden Firmen daher gewahrt sein. "Nur so können Reputationsverluste der Unternehmen vermieden werden", sagt Bitkom-Präsident Dieter Kempf. Die Industrie- und Handelskammern könnten hier als neutrale Stelle fungieren, regt Sobania an.

Der Bundesverband der Deutschen Industrie fordert indes ein Verfahren, bei dem die Unternehmen die Vorfälle an einen unabhängigen Treuhänder melden. Dieser gibt die Informationen dann weiter, ohne den Namen der Firma zu nennen. Auf diese Weise könnte die Behörde über den Treuhänder auch Rückfragen an das Unternehmen richten.

Über 18.000 Unternehmen von Meldepflicht betroffen
Bleibt es bei den zehn genannten Branchen, wären 18.466 Unternehmen betroffen, wie eine Studie im Auftrag des Bundesverbands der Deutschen Industrie ergab. Davon stammen 13.800 allein aus dem Energiesektor, 1.360 aus dem Verkehrs- und Transportgewerbe sowie 1.110 aus dem Gesundheitsbereich.

Pro Jahr fielen dadurch Bürokratiekosten für die Wirtschaft im Volumen von 1,1 Milliarden Euro an. Der Verband mahnt die Regierung daher, genau zu bestimmen, auf welche Sektoren sich das Gesetz beziehen solle. Mitunter könne auch innerhalb der Branchen je nach Geschäftsmodell und Tätigkeitsbereich unterschieden werden.

Bisher können Attacken auf freiwilliger Basis beim Bundesinstitut für Sicherheit in der Informationstechnologie angezeigt werden. Die Deutsche Telekom erstellt wie andere Unternehmen zudem eigene Lagebilder, indem sie Hacker in simulierte Sicherheitslücken lockt. Durch diese digitalen Fallen - sogenannte Honeypots - werden einem Sprecher zufolge inzwischen 800.000 Attacken auf das Telekom-Netz pro Tag registriert, mit Tendenz zu einer Million täglich.

Stoff für politische Debatten
Fest steht bereits, das IT-Sicherheitsgesetz wird viel Stoff für politische Debatten bieten. Innenminister De Maiziere strebt daher an, den Entwurf in einem "breiten Informations- und Beteiligungsprozess" öffentlich zu beraten - noch bevor er vom Kabinett behandelt werden soll. Außer der Meldepflicht sollen dort auch Sicherheitsmindeststandards für Firmen vorgeschrieben werden.

Die Regierung will den Kampf mit der Industrie aufnehmen. Es dürfe nicht immer die Angst der Unternehmen vor einer Rufschädigung im Mittelpunkt stehen. Vielmehr müssten die Gefahren offensiv angegangen werden, betonte sie unlängst.

Das könnte Sie auch interessieren

Kommentar schreiben

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.