EU-Kommission: Meldepflicht für Hackerangriffe trifft Zehntausende Unternehmen

Die EU-Kommission hat ihre Pläne für eine Meldepflicht von Hackerangriffen konkretisiert: Unternehmen mehrerer Branchen sollen bei Vorfällen künftig die Behörden in ihrem Land einschalten. Viele Firmen scheuen die Transparenz, ein deutscher Konzern prescht nun vor.

Server in Palo Alto (Symbolbild): In Europa sollen Unternehmen Zwischenfälle melden Zur Großansicht
REUTERS

Server in Palo Alto (Symbolbild): In Europa sollen Unternehmen Zwischenfälle melden

Die EU-Kommission will wichtige Infrastrukturnetze in der Union besser gegen Angriffe schützen. Angesichts der wachsenden Bedrohung plant die Kommission nach Informationen der Nachrichtenagentur Reuters, für mehrere Branchen eine Meldepflicht einzuführen. Erstmals haben die drei zuständigen Kommissare Details des Strategiepapiers genannt, das Reuters vorliegt. Danach sind neben Banken und Börsen auch die Energie-, Gesundheits- und Verkehrsbranche betroffen, ebenso Provider und die öffentliche Verwaltung. Die Kommission schätzt, dass die Auflagen für etwa 44.000 Unternehmen gelten.

Die Vizepräsidentin der Kommission Neelie Kroes (Digitale Agenda), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton wollen die Richtlinie in den kommenden Monaten durchsetzen. Kroes hatte die Initiative im November angekündigt, weil die Selbstregulierung der Wirtschaft angesichts der Bedrohung nicht mehr ausreiche. Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es jetzt in dem Papier.

Jede EU-Regierung soll eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. In Deutschland hat bereits 2011 das Nationale Cyber-Abwehrzentrum in Bonn seine Arbeit aufgenommen, dort tauschen sich Mitarbeiter verschiedener Behörden aus. Der Plan der EU-Kommission sieht vor, dass Firmen verpflichtet werden sollen, größere Vorfälle den nationalen Behörden zu melden. Auf EU-Ebene sollen dann gemeinsame Abwehrmaßnahmen koordiniert werden. Erst im Januar hatte Malmstroem das European Cybercrime Centre EC3 in Den Haag eröffnet.

Selbstregulierung der Wirtschaft ungenügend

Hintergrund ist die wachsende Zahl von Angriffen nicht nur auf öffentliche Einrichtungen, sondern auch auf Firmen durch Hacker, ausländische Regierungen und vermutlich auch extremistische Gruppen. Ins Visier nehmen die Angreifer dabei zunehmend auch die Betreiber wichtiger Infrastruktur wie Stromnetze. Innenminister Hans-Peter Friedrich hatte gewarnt, dass eine moderne, vernetzte Volkswirtschaft durch Angriffe auf die Energieversorgung oder die Banken lahmgelegt werden könne.

Vor allem börsennotierte Unternehmen scheuen eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hackerangriffe bekanntwerden. Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Regierungen Hinweise auf die eigene Verletzlichkeit auch an Wettbewerber gelangen könnten. Nun sollen sie verpflichtet werden. Auf der Münchner Sicherheitskonferenz sagten Kroes und Friedrich am Samstag, die Selbstregulierung der Wirtschaft reiche nicht mehr aus.

Telekom-Chef René Obermann forderte auf der Konferenz von Unternehmen weltweit einen Paradigmenwechsel: Hackerangriffe auf eigene Rechner sollten konsequent gemeldet werden. "Die Weitergabe von Wissen gilt inzwischen als Teil der Lösung", sagte er. "Je mehr Unternehmen bereit sind, mitzumachen, desto besser." Friedrich kritisierte in diesem Zusammenhang, viele Unternehmen hätten die Ernsthaftigkeit der Gefahr noch gar nicht erkannt.

Bundesregierung arbeitet an IT-Sicherheitsgesetz

Die EU-Kommission folgt mit ihrem Plan der amerikanischen und der deutschen Regierung. US-Präsident Barack Obama wollte bereits in der ersten Legislaturperiode eine Meldepflicht für Cyber-Attacken einführen, war damit aber zunächst im US-Kongress gescheitert. Nun will er einen zweiten Anlauf unternehmen. Deutschland ist etwas weiter.

Innenminister Friedrich hat bereits einen Gesetzentwurf in die Ressortabstimmung eingebracht, der im März im Kabinett verabschiedet werden muss, wenn er vor den Bundestagswahlen noch umgesetzt werden soll. Er sieht ebenfalls eine Meldepflicht für Firmen vor und will von den Betreibern kritischer Infrastruktur einfordern, sich gegen Angriffe zu schützen. Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik geprüft und abgenommen werden.

Anders als die EU-Kommission will Friedrich aber auch die Medien verpflichten, sich besser gegen Angriffe zu schützen und die Sicherheitsstandards zu verbessern. Erst am Freitag hatte die "New York Times" berichtet, dass sich chinesische Hacker in das interne Redaktionsnetz eingewählt und die Passwörter sämtlicher Redakteure gestohlen hätten. Am Samstag wurden Attacken auf Nutzerdaten beim Kurznachrichtendienst Twitter gemeldet.

Andreas Rinke, Reuters/dpa/ore

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 35 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. das BSI...
Bobby Shaftoe 02.02.2013
... kommt jetzt schon kaum nach, ihren IT-Grundschutzstandard zu pflegen. Wohin das führen kann, hat man am DE-Mail gesehen: Als Prestigeprojekt von Tante Merkel eifrig vor der CeBIT durchgewunken klaffen große Fragezeichen, die [...]
... kommt jetzt schon kaum nach, ihren IT-Grundschutzstandard zu pflegen. Wohin das führen kann, hat man am DE-Mail gesehen: Als Prestigeprojekt von Tante Merkel eifrig vor der CeBIT durchgewunken klaffen große Fragezeichen, die nie einen Sicherheitsaudit nach BSI-eigenen Regeln bestanden hätten. Warum zum Beispiel muss man für einen DE-Mail-Account eine Kopie des Personalausweises beim Hermes-Shop um die Ecke abgeben? Wo werden hier die Grundsätze der Datensparsamkeit und Zweckbindung eingehalten? Für mich klingt die Aktion schwer danach, eine kleine Abteilung zu einer mächtigen Behörde aufzublähen und im Vorbeigehen mal schnell die Belegschaft zu verzwanzigfachen.
2. Ahnungsloser Schwachsinn der Politik
SUPASLALOM 02.02.2013
Man kann die eigentliche Problematik, nämlich den laienhaften Umgang in Firmen mit Daten generell, nicht durch Verbote und Meldepflichten in den Griff bekommen. Es ist schon vom Konzept her unsinnig, Daten die [...]
Man kann die eigentliche Problematik, nämlich den laienhaften Umgang in Firmen mit Daten generell, nicht durch Verbote und Meldepflichten in den Griff bekommen. Es ist schon vom Konzept her unsinnig, Daten die "geheim" bleiben sollen, in einer global vernetzten Struktur (Internet) vorzuhalten. Warum ist vom Rechner eines Redakteurs die Kontenführung der Buchhaltung zu erreichen? Oder warum hat die Chefredaktion den selben "Netzanschluß" wie der Empfang in der Firmenzentrale? Man muss solche Topologien physisch auftrennen und mit einer vernünftigen Rechteverwaltung absichern und dafür sorgen, das wirklich nur die Menschen Zugang haben, auch physisch, die ihn brauchen. Sicherheit ist eine Ilusion. Keine technische Vorrichtung ist durch Missbrauch 100% abzusichern, vor allem dann nicht, wenn sie in einer öffentlichen Umgebung aufgestellt ist und damit, wenn auch durch Abschottungsmaßnahmen wie Firewalls begrenzt, Zugangsmöglichkeiten bestehen (Internet). Und nur weil der BWL-geschulte Abteilungseiter das Gegenteil glaubt, wird es nicht wahrer. Eigentlich muss er den teuer bezahlten System-Admins die Möglichkeit geben, ihn als den Vorgesetzten nicht nur nach dem Mund zu plappern, sondern die Wahrheit zu sagen - auch wenn diese Unbequem ist und Kosten nachsichzieht. Und dann sollte man die Angestellten nicht quälen durch Diffuse Verbote und Schuldzuweisungen, sondern aufklären durch Schulungen, wie man überhaupt im Netz sicher surft. Und diese Rechner sollten auf keinen Fall mit dem internen Netz kommunizieren, wieder muss strukturell getrennt werden! Wenn ich lese, das sich die Washington Post oder die New York Times mit Anti-Viren Softwarre versuchte sich zu schützen... ich kann nur sagen: OMG! AV-Programme helfen nicht bei gezielten Angriffen. Sie erkennen nur bereits bekannte und identifizierte Schädlinge die seit Monaten oder Wochen im Netz kursieren... sonst gar nichts! Das hilft eine über Download-Portale oder Werbenetzwerke massenhaft in Verbreitung gebrachte Malware zu erkennen, aber nicht speziell gefertigte Trojaner. Die ernst zu nehmende Teil der IT Sicherheitsindustrie nennt Anti-Viren Software "Schlangenöl" ... jenes Öl was die Quacksalber vor 150 Jahren auf den Dorfmarktplätzen der dummen Bevölkerung gegen jedes Leiden für teures Geld verkauften... wohl wissend deren Vertrauen und Ängste zu missbrauchen um sich selbst zu bereichern. Hört doch alle mal bitte auf jene Menschen die qualifiziert sind und beendet die ewigen Selbstlügen. Das gilt generell im Leben,nicht nur bei IT Problemen die dann mit unsinniger Politik bekämpft werden. Was das dem Steuerzahler allein an Kohle wieder kostet, hier Verwaltungsstrukturen aufzubauen... für rein gar nichts! :-/
3. Hacker .. eingewählt
Bernd.Brincken 02.02.2013
Wenn sich "Hacker in das interne Redaktionsnetz eingewählt" haben, dann ging das nur, weil es nicht nach den Regeln der Zunft gesichert war. Das ist erst einmal nicht anders als bei normalen Türen - wenn man sie nicht [...]
Wenn sich "Hacker in das interne Redaktionsnetz eingewählt" haben, dann ging das nur, weil es nicht nach den Regeln der Zunft gesichert war. Das ist erst einmal nicht anders als bei normalen Türen - wenn man sie nicht abschliesst, wird das Eindringen allzu einfach. Und anders als bei materiellen Türen, wo ein entschlossener Einbrecher wohl immer, wenn er genug Aufwand treibt, eine Möglichkeit findet, ist es bei IT-Systemen mit den richtigen Maßnahmen möglich, Angriffe auch dann mit hoher Wahrscheinlichkeit scheitern zu lassen, wenn der Angreifer bereit ist viel Aufwand zu treiben. Die Angriffe, deren IPs aus chinesischen Netzen kommen (ob es auch chinesische Hacker sind, ist damit übrigens nicht gesagt), machen es dann auch so, dass sie einfach großen Mengen Server nach Lücken abscannen - also auf Zufallstreffer setzen. Vor diesem Hintergrund ist eine Meldepflicht für den Betroffenen tatsächlich peinlicher - und politisch fragwürdiger - als z.B. eine seltene Infektionskrankheit beim Menschen.
4.
suedseefrachter 02.02.2013
selten so gelacht. hatte beruflich einmal Zugang zu einem Behörden-Netz, wenn die kleinen Beamten wissen würden das alles was sie ansehen über nen proxy läuft und man sieht was sie ansurfen.... Pornoseiten waren da keine [...]
Zitat von sysopDie EU-Kommission hat ihre Pläne für eine Meldepflicht von Hackerangriffen konkretisiert: Unternehmen mehrerer Branchen sollen bei Vorfällen künftig die Behörden in ihrem Land einschalten. Viele Firmen scheuen die Transparenz, ein deutscher Konzern prescht nun vor. EU-Kommission: 44.000 Firmen trifft Meldepflicht für Hackerangriffe - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/netzpolitik/eu-kommission-44-000-firmen-trifft-meldepflicht-fuer-hackerangriffe-a-881145.html)
selten so gelacht. hatte beruflich einmal Zugang zu einem Behörden-Netz, wenn die kleinen Beamten wissen würden das alles was sie ansehen über nen proxy läuft und man sieht was sie ansurfen.... Pornoseiten waren da keine Seltenheit. Will nicht wissen was in den deutschen Behördenkämmerchen überall so abläuft...
5. Zwei kleine, feine aber gemeine Argumente dagegen
EchoRomeo 02.02.2013
Bevor der Telekomiker Obermann Forderungen stellt, soll er mal bei seiner T-Systems-Truppe nachfragen wie die das halten. Womöglich wäre ihm danach grottenschlecht. Dann soll er seine - echten - Profis in dieser Truppe einmal [...]
Bevor der Telekomiker Obermann Forderungen stellt, soll er mal bei seiner T-Systems-Truppe nachfragen wie die das halten. Womöglich wäre ihm danach grottenschlecht. Dann soll er seine - echten - Profis in dieser Truppe einmal danach fragen was die von den Polit-IT-Kapserle des BSI fachlich halten. Dann wäre ihm womöglich noch viel übler. Und dann sollte er mal seine Consultants fragen, was deren Kunden davon halten wenn solche Infromationen, insbesondere die zu den Angriffsvektoren publik (gemacht) würden. Nebenbei kann er sich dann auch mal - unter der Hand - bei seiner Truppe erkundigen, wie viele Infos die an die T-Kunden weitergeben, wenn sie selbst merken, daß die T-Datacenter Ziel einer Attacke sind. Willkommen in der Cloud, wo alle Daten immer und überall jedem zur Verfügung stehen, der eins von vielen Hintertürchen entdeckt oder gebohrt hat. Fast schon Public Domain dieser Ansatz.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema EU-Kommission
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Samstag, 02.02.2013 – 17:25 Uhr
  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 35 Kommentare
Mehr Cyberwar

Mehr auf SPIEGEL ONLINE





MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP