Firmen müssen Cyber-Attacken bald an Bundesbehörden melden

Die Bundesregierung legt in Kürze Entwurf für ein IT-Gesetz vor. Demnach sollen zehn Branchen einer Meldepflicht für Cyber-Attacken nachkommen. So sollen Angriffe auf die kritische Infrastruktur besser bekämpft werden. Über 18.000 Unternehmen wären von der Meldepflicht betroffen. Die Firmen rechnen mit schwerwiegenden Konsequenzen.

Die Bundesregierung will etwas gegen die gestiegene Zahl von Cyberangriffen auf die Wirtschaft unternehmen. Bundesinnenminister Thomas de Maiziere legt dazu in den nächsten Wochen ein IT-Sicherheitsgesetz vor. Unternehmen, die für das Gemeinwohl als besonders sensibel gelten, sollen schwere Attacken künftig an eine zentrale Stelle melden. Die Firmen fürchten dadurch erhebliche Nachteile und versuchen mit Hochdruck, Einfluss auf den Gesetzesentwurf zu nehmen.

Die Bedrohung durch Cyberattacken gehört für die deutschen Unternehmen inzwischen zum Alltag (mehr hier). 64.400 Fälle solcher Angriffe wurden im vergangenen Jahr in Deutschland polizeilich erfasst. Hinzu kommen unzählige abgefangene oder nicht gemeldete Zugriffe. Einer Umfrage des Branchenverbands Bitkom zufolge verzeichnete in den vergangen zwei Jahren jedes dritte Unternehmen Attacken auf seine IT-Systeme. Wie jüngst bei der Europäischen Zentralbank (EZB), wo mehrere tausend Kontaktdaten von Personen abgefischt werden konnten, gelingt es Hackern immer häufiger, Sicherheitslecks gezielt auszunutzen.

Bei so viel krimineller Energie ist die Befürchtung groß, dass durch die immer raffinierter werdenden Angriffe die Strom- oder Wasserversorgung lahmgelegt, Flughäfen zum Erliegen gebracht, Bankdaten und strenggeheime Rüstungsinformationen entwendet werden könnten (mehr zu Hacker-Angriffen auf den Mittelstand – hier). Um solche Horrorsituationen zu verhindern, soll das Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) aus den gemeldeten Attacken künftig ein Lagebild erstellen und Schutzvorkehrungen treffen.

Unter die Meldepflicht sollen neben IT- und Telekommunikationsfirmen auch Energie- und Wasserversorger, Unternehmen aus dem Rüstungs-, Verkehrs- , Gesundheits- und Ernährungssektor sowie dem Finanz- und Versicherungswesen gehören, die allesamt zu den kritischen Infrastrukturen gerechnet werden, wie aus internen Unterlagen hervorgeht. Eine erfolgreiche Attacke gegen sie hätte schwere Folgen, etwa in Form von Versorgungsengpässen.

Die IT-Expertin des Deutschen Industrie- und Handelskammertags (DIHK), Katrin Sobania, gibt allerdings zu bedenken, dass Firmen vor einer Meldung stets mögliche Konsequenzen für das Unternehmen prüfen müssten. Börsennotierte Unternehmen wären unter Umständen sogar verpflichtet, ihre Aktionäre zu warnen. „Im Extremfall hätte die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst.“

Bliebe es bei den zehn genannten Branchen, wären 18.466 Unternehmen betroffen, wie eine Studie der Unternehmensberatung KPMG im Auftrag des BDI ergab. Davon stammen 13.800 allein aus dem Energiesektor, 1.360 aus dem Verkehrs- und Transportgewerbe sowie 1.110 aus dem Gesundheitsbereich. Pro Jahr fielen dadurch Bürokratiekosten für die Wirtschaft im Volumen von 1,1 Milliarden Euro an. BDI-Experte Matthias Wachter mahnt die Regierung daher, genau zu bestimmen, auf welche Sektoren sich das Gesetz beziehen solle. Mitunter könne auch innerhalb der Branchen je nach Geschäftsmodell und Tätigkeitsbereich unterschieden werden.

Bislang können Attacken auf freiwilliger Basis beim BSI angezeigt werden. Die Deutsche Telekom erstellt wie andere Unternehmen zudem eigene Lagebilder, indem sie Hacker in simulierte Sicherheitslücken lockt. Durch diese digitalen Fallen – sogenannte Honeypots – werden einem Sprecher zufolge inzwischen 800.000 Attacken auf das Telekom-Netz pro Tag registriert, mit Tendenz zu einer Million täglich.

Fest steht bereits, das IT-Sicherheitsgesetz wird viel Stoff für politische Debatten bieten. De Maiziere strebt daher an, den Entwurf in einem „breiten Informations- und Beteiligungsprozess“ öffentlich zu beraten – noch bevor er vom Kabinett behandelt werden soll (hier). Außer der Meldepflicht sollen dort auch Sicherheits-Mindeststandards für Firmen vorgeschrieben werden. Die Regierung will den Kampf mit der Industrie aufnehmen. Es dürfe nicht immer die Angst der Unternehmen vor einer Rufschädigung im Mittelpunkt stehen. Vielmehr müssten die Gefahren offensiv angegangen werden, betonte sie unlängst.

Kommentare

Dieser Artikel hat 2 Kommentare. Wie lautet Ihrer?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  1. Cyberclown Pappnase sagt:

    Unter Betrachtung des Säbelrasselns Richtung Russland ist man damit aber wirklich sehr spät dran.

    Die deutsche Produktions und Logistik (Bahn) Infrastruktur ist in etwa so sicher wie eine Dartscheibe.

    In Deutschland hat es eine handvoll Leute die dies verstehen und auch jedem der
    seine kognitive Dissonanz ausreichend unterdrückt, verständlich erklären können.

    Vielleicht sollte man sich in Berlin mal PRO-AKTIV in Think Tanks mit so was auseinandersetzen, sicherlich wurden die Angriffsflächen hierzulande längst vermessen und entsprechend evaluiert und angekreuzt.

    Alle Firmen die jetzt an Boykott Massnahmen gegen Russland teilnehmen,
    sollte dringendst nahegelegt werden, sich zeitgleich mit Ihrem Risiko Management, wenn Sie keins haben mit externem, zu beraten!

    Aber nein, dem BSI werden erst mal die Mittel eingefroren, mann könnte den Eindruck bekommen, dass hier fahrlässig enorme volkswirtschaftliche Schäden in Kauf genommen werden.

  2. Konrad Zuse sagt:

    Dazu müssten die dann aber erstmal überhaupt bemerkt werden.
    Siehe die IT-Spezis der EZB.
    Was in deutschen Unternehmen als IT-Fachkräfte ihr Dasein fristet,
    merkt zu einem erheblichen Teil garnichts.