Deutsche Unternehmen müssen Cyberattacken schon bald melden

28. Juli 2014, 13:02
posten

Entwurf für IT-Gesetz erwartet - Wirtschaft will Attacken nicht öffentlich machen

Die deutsche Bundesregierung will in Kürze Ernst machen und der gestiegenen Zahl von Cyberangriffen auf die Wirtschaft den Kampf ansagen. Innenminister Thomas de Maiziere wird dazu in den nächsten Wochen ein IT-Sicherheitsgesetz vorlegen.

Unternehmen, die für das Gemeinwohl als besonders sensibel gelten, sollen schwere Attacken künftig an eine zentrale Stelle melden. Die Firmen fürchten dadurch erhebliche Nachteile und versuchen mit Hochdruck, Einfluss auf den Gesetzesentwurf zu nehmen.

64.400 Fälle polizeilich erfasst

Die Bedrohung durch Cyberattacken gehört für die deutschen Unternehmen inzwischen zum Alltag. 64.400 Fälle solcher Angriffe wurden im vergangenen Jahr in Deutschland polizeilich erfasst. Hinzu kommen unzählige abgefangene oder nicht gemeldete Zugriffe. Einer Umfrage des Branchenverbands Bitkom zufolge verzeichnete in den vergangen zwei Jahren jedes dritte Unternehmen Attacken auf seine IT-Systeme. Wie jüngst bei der Europäischen Zentralbank (EZB), wo mehrere tausend Kontaktdaten von Personen abgefischt werden konnten, gelingt es Hackern immer häufiger, Sicherheitslecks gezielt auszunutzen.

Bei so viel krimineller Energie ist die Befürchtung groß, dass durch die immer raffinierter werdenden Angriffe die Strom- oder Wasserversorgung lahmgelegt, Flughäfen zum Erliegen gebracht, Bankdaten und strenggeheime Rüstungsinformationen entwendet werden könnten. Um solche Horrorsituationen zu verhindern, soll das Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) aus den gemeldeten Attacken künftig ein Lagebild erstellen und Schutzvorkehrungen treffen.

Meldepflicht für bestimmte Branchen

Unter die Meldepflicht sollen neben IT- und Telekommunikationsfirmen auch Energie- und Wasserversorger, Unternehmen aus dem Rüstungs-, Verkehrs- , Gesundheits- und Ernährungssektor sowie dem Finanz- und Versicherungswesen gehören, die allesamt zu den kritischen Infrastrukturen gerechnet werden, wie aus internen Unterlagen hervorgeht. Eine erfolgreiche Attacke gegen sie hätte schwere Folgen, etwa in Form von Versorgungsengpässen.

Die IT-Expertin des Deutschen Industrie- und Handelskammertags (DIHK), Katrin Sobania, gibt allerdings zu bedenken, dass Firmen vor einer Meldung stets mögliche Konsequenzen für das Unternehmen prüfen müssten. Börsennotierte Unternehmen wären unter Umständen sogar verpflichtet, ihre Aktionäre zu warnen. "Im Extremfall hätte die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst."

Nach Ansicht von Bitkom muss die Anonymität der meldenden Firmen daher gewahrt sein. "Nur so können Reputationsverluste der Unternehmen vermieden werden", sagt Bitkom-Präsident Dieter Kempf. Die Industrie- und Handelskammern könnten hier als neutrale Stelle fungieren, regt DIHK-Expertin Sobania an. Der Bundesverband der Deutschen Industrie (BDI) fordert ein Verfahren, bei dem die Unternehmen die Vorfälle an einen unabhängigen Treuhänder melden. Dieser gibt die Informationen dann ans BSI weiter, ohne den Namen der Firma zu nennen. Auf diese Weise könnte die Behörde über den Treuhänder auch Rückfragen an das Unternehmen richten.

Abgestuftes Verfahren

Der innenpolitische Sprecher der Unions-Fraktion, Stephan Mayer, plädiert unterdessen für ein abgestuftes Verfahren. Attacken kleinerer Art sollten anonym bleiben, größere hingegen müssten mit dem Unternehmen in Verbindung gebracht werden können. Enttäuscht hat die Wirtschaft inzwischen zur Kenntnis genommen, dass die Große Koalition von der Meldepflicht auf keinen Fall abrücken will. Vor gut einem Jahr waren die Lobbyisten erfolgreicher. Ein Gesetzentwurf des damaligen Innenministers Hans-Peter Friedrich (CSU) verschwand auf Druck der mitregierenden FDP rasch wieder in der Schublade.

Bleibt es bei den zehn genannten Branchen, wären 18.466 Unternehmen betroffen, wie eine Studie der Unternehmensberatung KPMG im Auftrag des BDI ergab. Davon stammen 13.800 allein aus dem Energiesektor, 1.360 aus dem Verkehrs- und Transportgewerbe sowie 1.110 aus dem Gesundheitsbereich. Pro Jahr fielen dadurch Bürokratiekosten für die Wirtschaft im Volumen von 1,1 Mrd. Euro an. BDI-Experte Matthias Wachter mahnt die Regierung daher, genau zu bestimmen, auf welche Sektoren sich das Gesetz beziehen solle. Mitunter könne auch innerhalb der Branchen je nach Geschäftsmodell und Tätigkeitsbereich unterschieden werden.

Freiwillige Anzeigen

Bisher können Attacken auf freiwilliger Basis beim BSI angezeigt werden. Die Deutsche Telekom erstellt wie andere Unternehmen zudem eigene Lagebilder, indem sie Hacker in simulierte Sicherheitslücken lockt. Durch diese digitalen Fallen - sogenannte Honeypots - werden einem Sprecher zufolge inzwischen 800.000 Attacken auf das Telekom-Netz pro Tag registriert, mit Tendenz zu einer Million täglich.

Fest steht bereits, das IT-Sicherheitsgesetz wird viel Stoff für politische Debatten bieten. De Maiziere strebt daher an, den Entwurf in einem "breiten Informations- und Beteiligungsprozess" öffentlich zu beraten - noch bevor er vom Kabinett behandelt werden soll. Außer der Meldepflicht sollen dort auch Sicherheits-Mindeststandards für Firmen vorgeschrieben werden. Die Regierung will den Kampf mit der Industrie aufnehmen. Es dürfe nicht immer die Angst der Unternehmen vor einer Rufschädigung im Mittelpunkt stehen. Vielmehr müssten die Gefahren offensiv angegangen werden, betonte sie unlängst. (APA, 28.7. 2014)

Share if you care.