NIS-Richtlinie EU-Kommission einigt sich auf neues Cyber-Gesetz

Eine neue Richtlinie soll für mehr Computersicherheit in Europa sorgen. Politiker verpflichten Unternehmen dazu, den Behörden Sicherheitsvorfälle zu melden. Günther Oettinger begrüßt die Einigung - auf seine eigene Weise.

EU-Digitalkommissar Günther Oettinger: "Sogar normale Familien und Kinder" betroffen
DPA

EU-Digitalkommissar Günther Oettinger: "Sogar normale Familien und Kinder" betroffen


Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich am späten Montagabend auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Die sogenannte NIS-Richtlinie zur Netzwerk- und Informationssicherheit sieht vor, dass Internetkonzerne wie Google und Amazon schwere Hackerangriffe auf ihre Systeme melden müssen. Geben die Firmen die Vorfälle nicht weiter, drohen ihnen Strafen.

Die neue Vorgabe gelte jedoch nicht für kleine und sehr kleine Unternehmen. Zudem bestimmte die EU Branchen, die in Sachen Cyber-Sicherheit noch mehr tun müssen. Darunter befinden sich vor allem wichtige Infrastrukturbetreiber aus den Bereichen Energie, Transport, Banken- und Gesundheitswesen. Die Kommission hatte das Gesetz bereits 2013 vorgeschlagen.

In Deutschland wurde bereits im Sommer ein IT-Sicherheitsgesetz beschlossen. Darin wurde die seit Jahren diskutierte Meldepflicht für Unternehmen bei Sicherheitsvorfällen festgeschrieben. Die Vorfälle können dabei von den Firmen auch anonym übermittelt werden. Nur wenn der Ausfall von Systemen droht, soll der Name der Firma genannt werden. Wer sich nicht an die neuen Regeln hält, dem droht dem deutschen Gesetz zufolge eine Strafe von bis zu 100.000 Euro.

Bedrohungen für "normale Familien und Kinder"

In einem Blogpost begrüßt EU-Digitalkommissar Günther Oettinger nun die Einigung auf europäischer Ebene. Angriffe auf Computersysteme fügten Unternehmen und der Wirtschaft erheblichen Schaden zu, schreibt er, nicht einmal "normale Familien und Kinder" könnten sich dem Risiko entziehen. Als Beispiel führt er den Angriff auf das Spielzeugunternehmen VTech an, bei dem die Angreifer Daten von Millionen Eltern und Kindern erbeuten konnten.

"Ich werde mich nicht zurücklehnen und zulassen, dass diese Kriminellen und Cyber-Terroristen unsere Unternehmen angreifen, in unser Privatleben eindringen und unser Vertrauen in die digitale Wirtschaft und Gesellschaft zerstören", so Oettinger in dem Blogpost.

Von massiven Sicherheitslücken auf Firmenseite, die solche Datenlecks oft erst ermöglichen, ist nur indirekt die Rede - zu wirksamer Prävention sagt Oettinger kaum etwas. Immerhin sieht die neue Richtlinie vor, dass sich bestimmte Anbieter - etwa von kritischer Infrastruktur - besonders absichern müssen.

juh/Reuters



Forum - Diskutieren Sie über diesen Artikel
insgesamt 12 Beiträge
Alle Kommentare öffnen
Seite 1
countermode 08.12.2015
1. Oh je, oh je!
Wenn Politiker über das Internet sprechen, dann kommt dabei immer VDS in irgendeiner Variante heraus. Als ob das was helfen würde. Warum werden Betreiber kommerzieller Dienste im Internet nicht mal dazu verpflichtet, anerkannte Standards zur IT-Sicherheit einzuhalten? Ist ja nicht so, dass es sowas nicht gibt.
000.Zulu 08.12.2015
2. Gruslige Androhung...
...von 100.000 Euro Strafe?! Große Firmen zahlen das gerne, wenn sie damit umgehen können ihren Namen in einem negativen Zusammenhang aus der Öffentlichkeit herauszuhalten. Nun ja, ein Anfang ist gemacht.
OberWutBuerger 08.12.2015
3. Witz der Woche
Ca. 30% des gesamten Datenverkehrs des Internet sind krimineller Natur, wenn man den Austausch von Filmen, Musik und mittlerweile Sprachnachrichten abzieht. Auf Grund dessen, dass diese Multimediadaten Einzug ins Internet gehalten haben wird der prozentuale Anteil der kriminellen Datenübertragung marginalisiert. Jeder der einen Router im Internet stehen hat sollte einfach mal dessen Protokolle lesen und er wird verwundert sein wieviele Trojaner, Denial of Service Attacken selbst auf solche Router und deren WAN Interfaces passieren, die täglich eine neue IP bekommen. Firmen, die eine feste IP Adresse haben müssen mit anderen Problemen rechnen und werden deutlich häufiger attackiert. Bei denen kann die Zahl der Pakete, die ihre Frontsysteme erreichen ein Vielfaches betragen. Es wird gezielt nach Lücken gesucht. Gute Methode ist zum Beispiel zu ermitteln wer einen Tomcat einsetzt, um dann gezielt Lücken des Apache zu nutzen, weil der Tomcat immer etwas später gepatched wird als der Apache auf dem der Tomcat basiert. Interessant ist wie wenig tatsächlich im Web passiert. Naja, erst vor kurzem wurde die isländische Regierung lahmgelegt und die Bundesregierung, der Bundestag waren bis vor kurzem ziemlich lange offline. Jedenfalls würde man jeden Sicherheitsvorfall melden wäre Herr Öttinger leicht überrascht. Was würde es auch bringen? Die meisten dieser Angriffe kommen aus Staaten auf deren Bewohner man keinen Zugriff hat und deren Fernmeldebehörden und Ordnungsbehörden sich nicht dafür interessieren bzw. die keine Zeit dafür haben sich mit sowas zu befassen. Das Gesetz ist so unnötig und hilfreich wie ein Kropf.
troy-mc-lure 08.12.2015
4.
Immer wenn ich von IT lese und in diesem Zusammenhang der Name Öttinger fällt, weiß ich nicht ob ich lachen oder weinen soll. Ernst nehmen kann ich den jedenfalls nicht.
Leser161 08.12.2015
5. Wie immer
Viel verordnen (Ihr müsst dies, ihr müsst das und wehe wenn nicht) aber nichts machen (Internet, da sind wir nix zuständig, weil das Internet gehört Amerika). Und wir bezahlen die Leute dafür auch noch. Sorry. Ohne Worte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.