EU-Kommission legt Strategiepapier vor: Streit um Meldepflicht für Hackerangriffe

---

Bild 1 vergrößern +

Wie kann der Gefahr aus dem Netz begegnet werden?

Innenminister Hans-Peter Friedrich (CSU) hält es für eine entscheidende Frage des 21. Jahrhunderts: Wie kann Sicherheit im Internet garantiert werden? Nicht nur unter den Experten auf der Münchner Sicherheitskonferenz am vergangenen Wochenende (02./03.02.2013) war die Bedrohung aus dem Netz das große Thema, auch einige Hunderttausend Nutzer des Netzwerkes Twitter mussten sich - zwangsläufig - kürzlich damit auseinandersetzen.

Der Kurzmitteilungsdienst teilte am Samstag (02.03.2013) mit, dass nach einem Hacker-Einbruch möglicherweise Daten von rund 250.000 Nutzern erbeutet worden waren. Darunter könnten sich E-Mail-Adressen und verschlüsselte Passwörter der Nutzer befunden haben, so das Unternehmen. Wenige Tage zuvor war bekannt geworden, dass auch US-Medien wie die "New York Times" oder das "Wall Street Journal" von sogenannten "Cyber-Angriffen" betroffen waren. Auch die "Washington Post" räumte mittlerweile eine mehrere Jahre zurückliegende massive Attacke ein.

Angriffe sollen gemeldet werden

---

Damit derartige Hacker-Angriffe nicht nur zufällig bekannt werden, möchten Innenminister Friedrich und die EU-Kommission die Meldepflicht für Hackerangriffe deutlich ausweiten. Am Donnerstag (07.02.2013) hat EU-Digitalkommissarin Neelie Kroes ihren Vorschlag für eine "Cyber Security Strategy" vorgestellt. Darin will die Brüsseler Behörde eine Meldepflicht für Unternehmen in ausgewählten Branchen festschreiben, erklärte die Kommission am Donnerstag. Betroffen wären Betreiber wichtiger Infrastruktur wie Energieversorger, Banken, Verkehrsbetriebe und Krankenhäuser, aber auch Dienstleister im Internet wie Suchmaschinen oder soziale Netzwerke wie Facebook. Öffentliche Verwaltungen sollen sich auf Cyber-Angriffe vorbereiten und sicherheitsrelevante Vorfälle anzeigen. "Ein einziger Cyber-Vorfall kann Zehntausende Euro für ein kleines Unternehmen kosten, bis hin zu Millionen für groß angelegten Datenklau", sagte Kroes.

---

Bild 2 vergrößern +

Bonner Behörde sammelt Informationen

In Berlin befindet sich gerade ein ganz ähnlicher Gesetzentwurf in der Ressortabstimmung. Auch Innenminister Friedrich plant, dass Unternehmen in den für eine Volkswirtschaft wichtigen Branchen Angriffe von Hackern melden müssen. Zudem sollen sie Sicherheitssysteme gegen Cyber-Attacken entwickeln. Diese sollen dann vom Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) abgenommen werden. Dort wurde bereits im April 2011 das " Nationale Cyber-Abwehrzentrum" gegründet. Dieses Zentrum befasst sich seitdem damit, Informationen über Schadsoftware zu bündeln. Das BSI hat zudem vor einem Jahr zusammen mit dem Branchenverband Bitkom, dem Bundesverband der Informationswirtschaft, eine "Allianz für Cybersicherheit" initiiert. Ziel der Zusammenarbeit es, einen Informations- und Erfahrungsaustausch zwischen Behörden, Unternehmen und der Wissenschaft zu schaffen - allerdings auf freiwilliger Basis.

Unternehmen lehnen Meldepflicht ab

Eine Verpflichtung zur Zusammenarbeit oder Meldung von Hackerangriffen lehnen viele Unternehmen ab. So hat sich bereits der Bundesverband IT-Mittelstand e.V. (BITMi) mit Sitz in Aachen gegen eine Ausweitung der Meldepflicht für Hackerangriffe ausgesprochen. Der Verband vertritt nach eigenen Angaben die Interessen von mehr als 800 mittelständischen IT-Unternehmen. "Statt Geld für eine behördliche Regelung auszugeben, sollte es zur Organisation der Selbstregulierung zur Verfügung gestellt werden", teilte Oliver Grün, Präsident des Bundesverbandes, mit.

Auch der Verband Bitkom, der mit dem BSI im Rahmen der "Allianz für Cybersicherheit" zusammenarbeitet, steht einer Ausweitung der Meldepflicht skeptisch gegenüber. "Das ist in der Praxis nicht ohne weiteres umsetzbar", so Bitkom-Sprecher Maurice Shahd. Denn: Man müsse erst einmal regeln, was genau gemeldet werden müsste. "Automatisierte Angriffe gehen in die Zehntausende. Nicht alle richten einen größeren Schaden an", gibt Shahd zu bedenken.

RWE begrüßt Austausch über Cyber-Attacken

---

Bild 3 vergrößern +

RWE: "Anzahl von Cyber-Attacken wird zunehmen"

Das sehen die IT-Abteilungen der Unternehmen, die von der Meldepflicht betroffen wären, ähnlich. "Das reine Melden einer Attacke würde nicht viel bringen", gibt RWE-Pressesprecher Peter Hoscheidt zu bedenken. Schließlich sei "Cyber-Attacke" nur ein Begriff für ganz unterschiedliche Dinge - von der Einschleusung eines Trojaners bis zur gezielten Attacke eines Webservers. Die Initiative des Innenministeriums begrüßt der Essener Energiekonzern dennoch. "Denn die Anzahl von Cyber-Attacken jeglicher Art wird sicher zunehmen. Von daher ist es wichtig, dass Wirtschaft und Politik im stetigen Austausch und Miteinander Abwehrmechanismen entwickeln", so RWE-Sprecher Hoscheidt.

Auch beim Düsseldorfer Energiekonzern Eon nimmt man das Thema IT-Sicherheit "sehr ernst", wie Unternehmenssprecherin Fabienne Twelemann mitteilt. "Daher verfügen wir über ein umfassendes Melde- und Risikomanagement-System", so Twelemann weiter. Zu den Details einzelner Sicherheitsmaßnahmen wollte sich das Unternehmen nicht weiter äußern.

Erst der Staat, dann die Unternehmen?

---

Bild 4 vergrößern +

Welche Angriffe sollen gemeldet werden - und welche nicht?

Überraschend kommt der Vorstoß aus Berlin für die Energieunternehmen nicht. Schon länger befinde man sich mit dem Innenministerium in einem Austausch, erklärt RWE-Sprecher Hoscheidt. Diese seien in erster Linie "Placebo-Gespräche", kritisiert dagegen Sicherheitsexperte Arne Schönbohm. Er ist Präsident des 2012 gegründeten Vereins "Cyber-Sicherheitsrat Deutschland e.V.". Dem Verein gehören nach eigenen Angaben Unternehmen an, die kritische Infrastrukturen betreiben - also die Unternehmen, die von einer Ausweitung der Meldepflicht betroffen wären. Folglich sieht der Verein in erster Linie nicht die Wirtschaft, sondern den Staat in der Pflicht. Denn dieser sei von Hackerangriffen besonders betroffen, argumentiert Vereinspräsident Schönbohm. Folglich sollte Innenminister Friedrich zuerst die Behörden in die Meldepflicht nehmen. Und erst in einem nächsten Schritt, nach der Erprobung eines Meldewesen für Behörden, sollten auch die Unternehmen mit in die Pflicht genommen werden, so seine Forderung.

Telekom-Chef für Paradigmenwechsel

Einige Unternehmen sehe sich aber auch jetzt schon in dieser Pflicht - wie etwa die Bonner Telekom AG. Deren Chef Rene Obermann forderte kürzlich Unternehmen zu einem Paradigmenwechsel auf: "Die Weitergabe von Wissen gilt inzwischen als Teil der Lösung", so Obermann auf der Münchner Sicherheitskonferenz. "Je mehr Unternehmen bereit sind mitzumachen, desto besser", erklärte der Chef des Bonner Unternehmens. Doch dies müsse auf Freiwilligkeit basieren, ergänzt der Branchenverband Bitkom, dem auch die Telekom angehört. Man müsse akzeptieren, wenn Unternehmen nicht möchten, dass bestimmte Informationen veröffentlicht werden, betont Bitkom-Sprecher Shahd. Aber: "Wenn Telekommunikationsnetze attackiert werden, steht es außer Frage, dass schwerwiegende Angriffe gemeldet werden. Das ist aber auch schon gesetzlich geregelt", so der Verbandssprecher.

400.000 Cyber-Angriffe pro Tag

Nach einer im Oktober 2012 veröffentlichten Studie des Computerherstellers Hewlett-Packard verursachen Datendiebstahl und Internet-Attacken in deutschen Großunternehmen einen Schaden von 4,8 Millionen Euro pro Jahr. Deutschland liege damit zwischen den USA mit 8,9 Millionen Euro und Japan mit 3,9 Millionen Euro, so das Unternehmen. Pro Woche soll es demnach in den untersuchten deutschen Unternehmen im Schnitt 1,1 erfolgreiche Angriffe geben - Tendenz steigend. Die Telekom registriert nach Angaben von Rene Obermann bis zu 400.000 Angriffe pro Tag auf ihr Netz.

---

Bild 5 vergrößern +

Bei Twitter wurden Nutzerdaten entwendet

Laut einer Umfrage des Verbandes der deutschen Internetwirtschaft "eco" rechnen 92 Prozent von 245 befragten IT-Experten für das Jahr 2013 mit einer wachsenden oder stark wachsenden Bedrohung. Die wichtigsten Sicherheits-Themen sind demnach Schadsoftware im Web und die Sicherheit der "Mobile Devices" also Tablets oder Smartphones.

Das Netzwerk Twitter hat bereits erste Konsequenzen aus dem jüngsten Hacker-Angriff gezogen, bei dem womöglich 250.000 Nutzerdaten entwendet worden waren: Das Unternehmen sucht derzeit auf seiner Internetseite einen "Software Engineer - Product Security" (Software-Entwickler Produkt-Sicherheit) in Vollzeit.

Die Twitter-Daten ...

... von Rainer Striewski wurden von den Hackern offenbar nicht ausgespäht. Glück gehabt. Die Wahrscheinlichkeit war aber auch sehr gering. Twitter verfügt über 200 Millionen aktive Nutzer, 250.000 geklaute Datensätze sind da nur ein geringer Teil. Dennoch hätte leicht auch der eigene Account darunter sein können, darüber sollte man sich immer klar sein, wenn man Online-Diensten seine Daten anvertraut.