Meldepflicht für Hackerangriffe nur noch eine Frage der Zeit?

it-sicherheit 48
News

Die Meldepflicht für Cyberer-Angriffe nimmt konkrete Formen an. Auf der Münchener Sicherheitskonferenz waren sich EU-Kommissarin Neelie Kroes und der deutsche Innenminister Friedrich einig, dass eine Selbstregulierung der Wirtschaft angesichts der stetig wachsenden Bedrohung nicht mehr ausreicht.

Am kommenden Donnerstag wird die neue «Cyber Security Strategy» der EU-Kommission vorgestellt, zu deren Eckpunkten eine gesetzliche Meldepflicht für Unternehmen gehört.

EU-Richtlinie in den kommenden Monaten

Kroes hatte die Initiative bereits im November angekündigt, wie unter anderem „Der Spiegel“ berichtete. In den kommenden Monaten wollen sie, die Innenkommissarin Cecilia Malmström und die Außenbeauftragte Catherine Ashton eine Richtlinie durchsetzten.

Die Richtlinie würde insbesondere vorschreiben, dass etwa der Diebstahl wichtiger Daten oder Sabotage-Versuche einer zentralen staatlichen Behörde gemeldet werden müssen. Die gesammelten Erkenntnisse sollen dabei helfen, Abwehrstrategien zu entwickeln.

Jede EU-Regierung hat eine zentrale Einrichtung für die Cyber-Abwehr aufzubauen sowie Notfall- und Abwehrpläne zu erstellen. Auf EU-Ebene sollen dann gemeinsame Abwehrmaßnahmen koordiniert werden. Erst im Januar hatte Malmström das European Cybercrime Centre EC3 in Den Haag eröffnet.

Meldepflicht trifft systemrelevante Branchen

Die Richtlinie würde nicht alle Unternehmen betreffen, sondern nur Branchen von zentraler wirtschaftlicher Bedeutung und Betreiber kritischer Infrastrukturen.  Neben Banken und Börsen gehören dazu die Energie-, Gesundheits- und Verkehrsbranche, aber auch Internetanbieter und die öffentliche Verwaltung. Die Kommission schätzt, dass die geplanten Auflagen für etwa 44.000 Unternehmen gelten.

Viele Unternehmen haben indes Vorbehalte, wie „Der Spiegel“ am Wochenende meldete. Vor allem börsennotierte Unternehmen scheuen eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hacker-Angriffe bekannt werden. Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Behörden Hinweise auf die eigene Verletzlichkeit an Wettbewerber gelangen könnten.

Cyber-Attacken nehmen zu

Die Unternehmen sind jetzt zum Umdenken gezwungen, zumal sie sich immer mehr Hackerangriffen ausgesetzt sehen.

Für Google-Chairman Eric Schmidt ist China der weltweit „raffinierteste und effektivste Hacker“ ausländischer Unternehmen, wie das „Wall Street Journal“ vorab aus seinem im April erscheinenden Buch zitierte. Zeitgleich meldete dieselbe Zeitung und die „New York Times“, von chinesischen Hackern ausgespäht worden zu sein. Die Attacke fielen mit Berichten über das Familienvermögen des chinesischen Ministerpräsidenten Wen Jiabao zusammen.

Dass Banken zu den gefährdeten Unternehmen gehören, zeigt der jüngste Coup von Anonymous. Das Hackerkollektiv hat laut „ZDNetKontaktinformationen und Zugangsdaten von über 4.000 Bankmitarbeitern veröffentlicht, die offenbar von einem Server der US-Notenbank stammen.

Nicht nur die Heftigkeit der Attacken, sondern auch deren Umfang nehmen zu, wie der „Kölner Stadtanzeiger“ berichtet: Deutsche-Telekom-Chef Rene Obermann sprach auf der Sicherheitskonferenz in München davon, dass sein Unternehmen im eigenen Netz 300.000 bis 400.000 Angriffe täglich registriere.

Deutschland prescht vor

Die Bundesregierung hat schon früh Handlungsbedarf gesehen. Bereits 2011 nahm das Nationale Cyber-Abwehrzentrum in Bonn seine Arbeit auf.  Außerdem hat Innenminister Friedrich einen Gesetzentwurf vorbereitet, wobei „Der Spiegel“ eine Verabschiedung des Gesetzes vor den Wahlen nur für möglich hält, wenn der Entwurf im März vom Kabinett abgesegnet wird.

Neben einer Meldepflicht ist vorgesehen, dass Betreiber kritischer Infrastrukturen sich gegen Angriffe schützen. Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik geprüft und abgenommen werden.

Umso mehr verwundert es, dass Innenminister Friedrich beim Datenschutz weiterhin auf eine Selbstregulierung der Wirtschaft setzt …

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.