Die Idee ist nicht neu: Informationspflicht bei Hackerangriffen. In Kalifornien und anderen US-Staaten gibt es dafür seit längerem ein Gesetz. Angesichts der wachsenden Zahl von Cyberattacken, bei denen gezielt ein Stromnetz in die Knie gezwungen werden könnte, plant die EU-Kommission eine ähnliche Maßnahme: eine gute Idee, die aber (noch) nicht zu Ende gedacht scheint.

Die Dunkelziffer bei Angriffen auf Unternehmensnetze gilt als besonders hoch. Viele Firmen breiten aus Angst vor Imageschäden den Mantel des Schweigens darüber. Wie die EU künftig herausfinden will, ob die Unternehmen tatsächlich ihrer Meldepflicht nachgekommen sind, steht dahin. Offen ist auch die Frage, in welchen Fällen sie gilt. Die Angriffe werden immer erfinderischer. Es wird für die Ausarbeiter der Richtlinie sicher nicht einfach, mit der technischen Entwicklung der Angreifer Schritt zu halten.

Die größte Herausforderung wird sein, die Unternehmen zu mehr Sicherheitsverantwortung zu erziehen. Das kann erreicht werden, indem sie an den Pranger gestellt oder mit Bußgeld belegt werden. Wenn sie etwa Kundendaten zu wenig geschützt haben oder - noch schlimmer - durch Sicherheitslücken fahrlässig Infrastruktureinrichtungen und damit die öffentliche Sicherheit gefährden.

Ohne Zwang dürfte das in Zeiten von Sparbudgets graue Theorie bleiben. Wenn eine EU-Richtlinie dafür Anstoß ist und Standards vorgibt, soll es recht sein. (Karin Tzschentke, DER STANDARD, 4.2.2013)