EU-Kommission Meldepflicht für Hackerangriffe trifft Zehntausende Unternehmen

Die EU-Kommission hat ihre Pläne für eine Meldepflicht von Hackerangriffen konkretisiert: Unternehmen mehrerer Branchen sollen bei Vorfällen künftig die Behörden in ihrem Land einschalten. Viele Firmen scheuen die Transparenz, ein deutscher Konzern prescht nun vor.
Server in Palo Alto (Symbolbild): In Europa sollen Unternehmen Zwischenfälle melden

Server in Palo Alto (Symbolbild): In Europa sollen Unternehmen Zwischenfälle melden

Foto: STEPHEN LAM/ REUTERS

Die EU-Kommission will wichtige Infrastrukturnetze in der Union besser gegen Angriffe schützen. Angesichts der wachsenden Bedrohung plant die Kommission nach Informationen der Nachrichtenagentur Reuters, für mehrere Branchen eine Meldepflicht einzuführen. Erstmals haben die drei zuständigen Kommissare Details des Strategiepapiers genannt, das Reuters vorliegt. Danach sind neben Banken und Börsen auch die Energie-, Gesundheits- und Verkehrsbranche betroffen, ebenso Provider und die öffentliche Verwaltung. Die Kommission schätzt, dass die Auflagen für etwa 44.000 Unternehmen gelten.

Die Vizepräsidentin der Kommission Neelie Kroes (Digitale Agenda), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton wollen die Richtlinie in den kommenden Monaten durchsetzen. Kroes hatte die Initiative im November angekündigt, weil die Selbstregulierung der Wirtschaft angesichts der Bedrohung nicht mehr ausreiche. Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es jetzt in dem Papier.

Jede EU-Regierung soll eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. In Deutschland hat bereits 2011 das Nationale Cyber-Abwehrzentrum in Bonn seine Arbeit aufgenommen, dort tauschen sich Mitarbeiter verschiedener Behörden aus. Der Plan der EU-Kommission sieht vor, dass Firmen verpflichtet werden sollen, größere Vorfälle den nationalen Behörden zu melden. Auf EU-Ebene sollen dann gemeinsame Abwehrmaßnahmen koordiniert werden. Erst im Januar hatte Malmstroem das European Cybercrime Centre EC3 in Den Haag eröffnet.

Selbstregulierung der Wirtschaft ungenügend

Hintergrund ist die wachsende Zahl von Angriffen nicht nur auf öffentliche Einrichtungen, sondern auch auf Firmen durch Hacker, ausländische Regierungen und vermutlich auch extremistische Gruppen. Ins Visier nehmen die Angreifer dabei zunehmend auch die Betreiber wichtiger Infrastruktur wie Stromnetze. Innenminister Hans-Peter Friedrich hatte gewarnt, dass eine moderne, vernetzte Volkswirtschaft durch Angriffe auf die Energieversorgung oder die Banken lahmgelegt werden könne.

Vor allem börsennotierte Unternehmen scheuen eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hackerangriffe bekanntwerden. Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Regierungen Hinweise auf die eigene Verletzlichkeit auch an Wettbewerber gelangen könnten. Nun sollen sie verpflichtet werden. Auf der Münchner Sicherheitskonferenz sagten Kroes und Friedrich am Samstag, die Selbstregulierung der Wirtschaft reiche nicht mehr aus.

Telekom-Chef René Obermann forderte auf der Konferenz von Unternehmen weltweit einen Paradigmenwechsel: Hackerangriffe auf eigene Rechner sollten konsequent gemeldet werden. "Die Weitergabe von Wissen gilt inzwischen als Teil der Lösung", sagte er. "Je mehr Unternehmen bereit sind, mitzumachen, desto besser." Friedrich kritisierte in diesem Zusammenhang, viele Unternehmen hätten die Ernsthaftigkeit der Gefahr noch gar nicht erkannt.

Bundesregierung arbeitet an IT-Sicherheitsgesetz

Die EU-Kommission folgt mit ihrem Plan der amerikanischen und der deutschen Regierung. US-Präsident Barack Obama wollte bereits in der ersten Legislaturperiode eine Meldepflicht für Cyber-Attacken einführen, war damit aber zunächst im US-Kongress gescheitert. Nun will er einen zweiten Anlauf unternehmen. Deutschland ist etwas weiter.

Innenminister Friedrich hat bereits einen Gesetzentwurf in die Ressortabstimmung eingebracht, der im März im Kabinett verabschiedet werden muss, wenn er vor den Bundestagswahlen noch umgesetzt werden soll. Er sieht ebenfalls eine Meldepflicht für Firmen vor und will von den Betreibern kritischer Infrastruktur einfordern, sich gegen Angriffe zu schützen. Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik geprüft und abgenommen werden.

Anders als die EU-Kommission will Friedrich aber auch die Medien verpflichten, sich besser gegen Angriffe zu schützen und die Sicherheitsstandards zu verbessern. Erst am Freitag hatte die "New York Times" berichtet, dass sich chinesische Hacker in das interne Redaktionsnetz eingewählt und die Passwörter sämtlicher Redakteure gestohlen hätten. Am Samstag wurden Attacken auf Nutzerdaten beim Kurznachrichtendienst Twitter gemeldet.

Andreas Rinke, Reuters/dpa/ore