Nicht nur Online-Plattformen und E-Commerce-Anbieter, auch Banken, Energieversorger, Gesundheits- und Verkehrsbranche sollen künftig melden müssen, wenn sie das Opfer einer Hackerattacke geworden sind. Die EU-Kommission will damit in den Mitgliedsstaaten die Transparenz bei Datenverlusten verbessern und wichtige Infrastrukturnetze gegen Angriffe aus dem Internet schützen. EU-Schätzungen zufolge sollen die geplanten Auflagen für etwa 44.000 Unternehmen gelten

Selbstregulierung unzureichend

Kommissionsvizepräsidentin Neelie Kroes (Wettbewerb), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton kündigten am Wochenende an, die Richtlinie in den kommenden Monaten durchsetzen zu wollen. Die Selbstregulierung der Wirtschaft reiche nicht mehr aus, betonten Kroes und Bundesinnenminister Hans-Peter Friedrich auf der Sicherheitskonferenz in München.

Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es in dem Papier. Die EU-Staaten werden aufgefordert, eine nationale Strategie für den Kampf gegen Cyber-Kriminalität vorzulegen. Jede EU-Regierung muss eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. Die Firmen sollen verpflichtet werden, größere Vorfälle den nationalen Behörden zu melden. Auf EU-Ebene sollen Informationen ausgetauscht und gemeinsame Abwehrmaßnahmen koordiniert werden.

Mit den Schritten sollen Angriffe durch Hacker, Regierungen und vermutlich auch extremistische Gruppen auf öffentliche Einrichtungen und Firmen bekämpft werden. Vor allem Ländern wie China und Russland wird regelmäßig Industriespionage und Sabotage vorgeworfen.

Datendiebstahl und Infrastruktur-Angriffe

Ins Visier nehmen die Angreifer zunehmend auch die Betreiber wichtiger Infrastruktur wie von Stromnetzen. Der deutsche Innenminister Friedrich warnte, dass eine moderne, vernetzte Volkswirtschaft durch Angriffe auf die Energieversorgung oder die Banken lahmgelegt werden könne.

Bei dem versuchten Eindringen in IT-Netzwerke der Firmen geht es nach Erkenntnissen deutscher Sicherheitsbehörden um den Diebstahl wichtiger Daten, aber auch um Sabotage. Vor allem börsennotierte Unternehmen scheuen aber eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hackerangriffe bekannt werden. Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Regierungen Hinweise auf die eigene Verletzlichkeit auch an Wettbewerber gelangen könnten

Estland hat Erfahrung

Wichtig an der EU-Initiative sei vor allem die Meldepflicht für die Firmen, weil niemand der erste sein wolle, der zugebe, gehackt worden zu sein, kommentierte der estnische Präsident Toomas Hendrik Ilves. In Estland wird das Thema deshalb als besonders wichtig angesehen, weil es das einzige EU-Land ist, dass bereits einen umfassenden Hacker-Angriff auf seine staatlichen Stellen erlebt hat. 2007 legten sogenannte "Denial of Service"-Angriffe Regierungs- und Verwaltungsstellen sowie die größte Bank Estlands lahm. "Aber das Geheimdienst-Modell, wo man sich ab und zu Informationen zuflüstert, ist bei der Cyber-Abwehr nicht so effektiv wie das Berichts-Modell", ist Ilves überzeugt.

Nur wenn die Angriffe gemeldet würden, könnten Muster entdeckt werden. "Wir brauchen auch einen gemeinsamen Minimumstandard für EU-Staaten, wenn wir mit der Nutzung der IT-Technologie in Europa vorangehen wollen", betonte der estnische Politiker. (Reuters/red, DER STANDARD, 4.2.2013)