Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Geplante Meldepflicht: Firmen verweigern direkte Auskunft über Cyberangriffe

Von

Angriffsziel Computerserver: Alltägliche Attacken Zur Großansicht
DPA

Angriffsziel Computerserver: Alltägliche Attacken

Unternehmen sollen Cyberattacken künftig den Behörden melden, das sieht ein Gesetzentwurf vor. Innenminister de Maizière sichert den Firmen darin Anonymität zu - doch das reicht vielen noch nicht.

Hamburg - Angriffe auf ihre Computersysteme sind für viele Unternehmen zur Normalität geworden. "Das kommt täglich vor", sagt Michael Kleist, Regionaldirektor für Europa beim US-Softwarehersteller Novell. Doch ganz so alltäglich könnten die Attacken bald nicht mehr sein: Besonders schwere Fälle sollen Firmen in Zukunft an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das sieht der Entwurf eines IT-Sicherheitsgesetzes vor, den Bundesinnenminister Thomas de Maizière (CDU) am Dienstag vorlegte.

Neue Auflagen durch die Politik sind in der Wirtschaft normalerweise so beliebt wie Fußpilz. Auch gegen die geplante Meldepflicht für Cyberangriffe hatte es zunächst erheblichen Protest gegeben. Eine Studie im Auftrag des Bundesverbands der Deutschen Industrie (BDI), des Telekombranchenverbands Bitkom und anderer Verbände schätzte die jährlichen Mehrkosten auf 1,1 Milliarden Euro. Ein erster Gesetzentwurf von de Maizieres Vorgänger Hans-Peter Friedrich (CSU) wurde nicht umgesetzt.

Den neuen Entwurf lobt der BDI nun aber als deutliche Verbesserung, auch bei Bitkom zeigt man sich zufrieden. "Wir haben uns aufeinander zubewegt", sagt Hauptgeschäftsführer Bernhard Rohleder über die Verhandlungen mit der Politik.

Hauptgrund für die versöhnlichen Töne ist, dass de Maizière eine wesentliche Forderung der Wirtschaft erfüllt: Die Meldung von Angriffen soll auch anonym möglich sein, sofern diese nicht "konkret zu einem Ausfall oder zu einer Beeinträchtigung der Kritischen Infrastruktur führen". Damit reagiert die Politik auf die Sorge von Firmen, bekannt gewordene Cyberangriffe könnten ihren Ruf beschädigen.

Außerdem soll die Regelung nur sieben Branchen betreffen, die als besonders gefährdet gelten: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen.

Ein Teil der Betroffenen hält sich schon jetzt für gut gewappnet. "Das betrifft die Telekommunikation weniger als andere Wirtschaftszweige", sagt Bitkom-Geschäftsführer Rohleder über notwendige Änderungen infolge des Gesetzes. Auch der Bundesverband deutscher Banken erklärt, aufgrund bereits vorhandener hoher Sicherheitsstandards dürften die Anpassungen "überschaubar bleiben und sich vor allem auf das Meldewesen konzentrieren".

Auch Stadtwerke gelten als gefährdet

Deutlich mehr Arbeit könnte auf viele Energie- und Wasserversorger zukommen, besonders kleine. So weist der Verband kommunaler Unternehmen (VKU) darauf hin, dass die Meldepflicht auch für Stadtwerke gelten wird. Zwar sieht der Gesetzentwurf eine Ausnahmeregelung für Kleinstunternehmen vor, diese gelte aber nicht für kommunale Versorger, sagte VKU-Hauptgeschäftsführer Hans-Joachim Reck. Noch sei "schwer abschätzbar" ob de Maizières Versprechen zutreffe, wonach der Nutzen der Meldepflicht seine Kosten übertrifft. "Zukünftige Berichtspflichten müssen tatsächlich zu einem Mehr an Sicherheit führen, statt einem Mehr an Bürokratie."

Auch die vom Innenminister vorgeschlagene Anonymisierung überzeugt die Wirtschaft noch nicht völlig. Statt direkter Meldungen an staatliche Stellen wie das BSI fordern BDI und Bitkom eine Treuhänderstelle, die Informationen in beide Richtungen weitergeben soll. "Damit könnte die Rechtssicherheit für die Unternehmen weiter erhöht und der Meldeprozess zwischen Wirtschaft und Amtsseite beschleunigt werden", heißt es vom BDI. Offenbar ist die Sorge groß, der Staat könnte die gesammelten Angriffsmeldungen irgendwann doch gegen das eigene Unternehmen verwenden. Außerdem fordern die Verbände, die Meldepflicht müsse auch für Behörden gelten - schließlich betreibe der Staat am meisten Kritische Infrastruktur.

Offen ist aber nicht nur die Umsetzung der Meldepflicht, sondern auch, wie viel Schutz sie letztlich bietet. Michael Kleist vom Softwarehersteller Novell warnt, Unternehmen dürften aufgrund der verschärften staatlichen Aufsicht nicht eigene Sicherheitsvorkehrungen vernachlässigen. Dazu gehöre es, mit sogenanntem Identitätsmanagement unbefugte Zugriffe frühzeitig zu erkennen - ein Geschäftsfeld, in dem auch die Novell-Mutter Attachmate Geld verdient.

Durch die Meldepflicht würden dagegen nur bereits geglückte Attacken registriert, kritisiert Kleist. Oft lägen sie zudem schon lange zurück. "Das hilft, um eine Statistik zu führen, aber schützt nicht vor neuen Angriffen."

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 12 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. was ist der Sinn der Meldepflicht ? Geht es nur ums Melden an sich ?
neolibby 19.08.2014
Ich glaube, eher nicht. Also, was passiert mit der Meldung ? Wird die GSG9 in MArsch gebracht ? Ich wüßte nicht, was mir der Bund da helfen sollte. Es gibt wenige identische Cybeangriffe und lokalisieren lassen sie sich auch schlecht und die Auswirkungen minimieren ? Kann kein Cyberabwehrbeamte behaupte ich mal.
2. Richtiger Ansatz
Leser1000 19.08.2014
Welche Firma möchte schon, dass Datenklau publik wird. Denn es würde ja nicht nur die "eigen Schwäche " eingestanden. Vielmehr könnten Kunden wegbleiben. Wer möchte schon über Umwege ausspioniert werden. Auf lange Sicht aber ist eine "Zusammenarbeit" der Firmen/Behörden sicher richtig. Netzwerken und von anderen lernen führt garantiert zu mehr Sicherheit.
3.
ein Sozialist 19.08.2014
Mit dem Vertrauen ist das so eine Sache, zumal es keine absolute Sicherheit gibt, was dann auch auf die gemeldeten Angriffe und diese Daten zutrifft. Zum anderen ist damit noch keine einzige Lösung gefunden sich davor zu schützen. Das Geld wäre in eine sichere eigene Infrastruktur investiert besser angelegt, welches es dann erlaubt sicherheitsrelevante Systeme vom übrigen Netz zu trennen. Das Problem der Sicherheit wird mit Sicherheit auch nicht durch Politiker (Neuland Informatiker) gelöst, zumal mir da kaum welche bekannt sind die eine entsprechende Qualifikation dafür aufweisen können. Mir scheint da müssen noch einige gut bezahlte Posten vergeben werden.
4.
whocaresbutyou 19.08.2014
Zitat von neolibbyIch glaube, eher nicht. Also, was passiert mit der Meldung ? Wird die GSG9 in MArsch gebracht ? Ich wüßte nicht, was mir der Bund da helfen sollte. Es gibt wenige identische Cybeangriffe und lokalisieren lassen sie sich auch schlecht und die Auswirkungen minimieren ? Kann kein Cyberabwehrbeamte behaupte ich mal.
Die Zauberworte heißen MONITORING und CONTROLLING Zuerst sammeln sie ausgiebig Rohdaten, die filtern sie dann ein paarmal gut durch, kategorisiert sie mittels Pivot-Tables und visualisiert das ganze mit 60 bis 80 animierten Powerpoit-Slides (vorzugsweise in englisch, das erspart Fragen). Spätestens nach dem ersten Drittel können sie jedem alles beweisen und alle haben ein schlechtes Gewissen, weil sie den Durchblick verloren haben. Nach dem zweiten Drittel üben sie Gnade und swappen nur noch fix durch (streng genommen sind es eh die gleichen Daten, nur aus zwei Dutzend Blickwinkeln, was außer ihnen aber längst keiner mehr merkt). Am Ende entschuldigen sie sich für die Komplexität des Themas, loben sie alle Beteiligten, merken jedoch kritisch an, dass noch viel zu tun ist, sie aber weiterhin ein starkes Auge darauf haben werden! Streng genommen hat sich garnichts getan, aber alle sind begeistert...
5. Sicherheit und Vertrauen
JaIchBinEs 19.08.2014
Ich wäre als Unternehmer da zurückhaltend. Was ist, wenn bei den Behörden auch "Spezialisten" der Gegenseite sitzen?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: