Umstrittene Meldepflicht für Cyberattacken

Unternehmensserver sind oft nicht gegen unberechtigten Zugriff geschützt. (Foto:  IntelFreePress; Quelle: Flickr CC BY 2.0)

Unternehmensserver sind oft nicht gegen unberechtigten Zugriff geschützt. (Foto: IntelFreePress; Quelle: Flickr CC BY 2.0)

Bundesinnenminister Hans-Peter Friedrich drängt die deutsche Wirtschaft, sich intensiver über aktuelle Gefahren und Angriffe aus dem Internet auszutauschen. Dabei droht er mit einer gesetzlichen Meldepflicht für Cyberattacken, falls sich die betroffenen Firmen nicht bald zusammenfinden.

Friedrich fordert von den Branchen, zentrale Ansprechpartner für die Behörden zu benennen. Bislang läuft der Informationsaustausch nur freiwillig, nicht selten auf “anekdotischer” Ebene. Das hilft jedoch wenig, wenn es darum geht, komplexe Angriffe zu erkennen. “Wir werden sehen, wo in anderen Branchen Lücken sind – und wie die geschlossen werden können. Ich setze im Moment noch darauf, dass die Branchen selber erkennen, dass es ein solches Meldesystem braucht. Aber wenn das nicht flächendeckend und umfassend funktioniert, werde ich die Meldepflicht gesetzlich vorschreiben”, sagte der Innenminister jetzt in einem Interview mit der Wirtschaftswoche.

Gerade im vergangenen Jahr waren mehr und mehr komplexe Angriffsstrategien zu erkennen. Diese richteten sich beispielsweise zuerst gegen ein IT-Sicherheitsunternehmen wie etwa RSA, um dort relevante Sicherheitsinformationen zu erlangen. Anschließend wurde mit dem erbeuteten Wissen Spionageoperationen gegen Rüstungsunternehmen wie etwa Lockheed Martin ausgeführt. In den USA wurde daher der “Cyber Intelligence Sharing and Protection Act” (CISPA) aus der Taufe gehoben, der Vorbild für Friedrichs Gesetzesinitiative sein könnte.

In den USA ist CISPA derzeit höchst umstritten. Der Gesetzesentwurf will Unternehmen verpflichten, ihre Erkenntnisse über Angriffe rasch an die Sicherheitsbehörden zu übermitteln. Zunächst zeigten sich die Unternehmen recht aufgeschlossen, doch kurz vor der entscheidenden Abstimmung im Senat äußerten Mozilla, Microsoft und Reddit schwere Bedenken. Das Gesetz erlaubt nämlich, ungeachtet anderer rechtlicher Regelungen, einen mehr oder weniger unkontrollierten Zugriff auf Unternehmensdaten. Präsident Obama hat deshalb bereits sein Veto angekündigt.

Spärlicher Austausch

In Deutschland dagegen hapert es an der Koordination und der Weitergabe von Informationen. Weil Unternehmen davor zurückschrecken, erfolgte Computerangriffe bei der Polizei zu melden, weil sie dann öffentlich werden könnten, geht Friedrich von einer hohen Dunkelziffer aus. Als Vorbild sieht er allein die Versicherungsbranche, die als einziger Wirtschaftszweig ein übergreifendes Computernotfallzentrum, ein so genanntes CERT unterhält. Im Privatbankenbereich ist eine ähnliche Einrichtung im Aufbau. Auch im nicht-kommerziellen Bereich gibt es bereits seit Jahren etablierte Netzwerke: Die Hochschulen arbeiten mit dem DFN-CERT zusammen, die Behörden mit dem CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Auch in der Telekommunikations- und Internetbranche unterhalten Unternehmen durchaus eigene CERTs, wie etwa die Deutsche Telekom, die mit dem Deutschen CERT-Verbund kooperieren. Das Problem: Es gibt keine Organisation für einen branchenweiten und unternehmensübergreifenden Austausch. Insbesondere kleine und mittlere Unternehmen tun zu wenig. Entsprechende Angebote verfehlten bislang die Zielgruppe: Das 2003 vom Branchenverband Bitkom und mehreren Bundesministerien ins Leben gerufene Mcert, das sich an den Mittelstand wendete, musste 2007 bereits wieder den Geschäftsbetrieb einstellen. Lücken erkennt Friedrich außerdem in Sektoren, die für ein funktionierende Infrastruktur relevant sind, also Unternehmen im Bereich der Energie- und Wasserversorgung, Verkehr und Kommunikation.

Anonyme Meldungen

In diesem Jahr gab es einen neuen Anlauf: Bitkom kündigte zur Cebit gemeinsam mit dem BSI eine “Allianz für Cybersicherheit” an, die im Laufe des Jahres eine Wissensbasis für ein nationales Lagebild aufbauen soll. Die Allianz setzt dabei bislang auf freiwillige Meldungen aus verschiedenen Branchen. Eine Verpflichtung, wie sie jetzt Bundesinnenminister Hans-Peter Friedrich anstrebt, hält der IT-Sicherheitsexperte Lutz Neugebauer beim Branchenverband Bitkom für weniger zielführend. Es sei besser, zunächst Vertrauen aufzubauen, was per Zwang schwierig sei.

Neugebauer: “Wir wollen freiwillige Meldungen, die im Zweifelsfall auch anonym abgesetzt werden können.” Dies wäre die Voraussetzung dafür, die gegenwärtige Sicherheitskultur zu ändern, damit Unternehmen offener über Angriffe auf ihre IT sprechen. Physische Angriffe wie Einbrüche werden in der Regel bei der Polizei angezeigt – virtuelle jedoch nicht, da sie eher als potenziell Image-gefährdend empfunden würden.

Wie scheu die Unternehmen sind, zeigt sich auch am Beispiel des Information Security Forum. Hier organisieren sich internationale Top-Unternehmen wie IBM, Maersk, Nokia oder die Swisscom zum Thema IT-Sicherheit. Rund 20 deutsche Dax-Unternehmen sollen Mitglied sein, doch sie alle wollen ungenannt bleiben.

Friedrichs Vorstoß kommt etwas überraschend, weil durchaus Vertrauen zwischen Unternehmen und Behörden in den letzten Jahren in mehr oder weniger informellen Arbeitskreisen aufgebaut werden konnte. Gleichwohl gibt es bis heute keine Statistiken zu Sicherheitsvorfällen, auch die europäische Sicherheitsbehörde ENISA tappt im Dunklen. Noch immer gelten solche Informationen als Geheimwissen. Allein eines wissen alle: Die Gefährdungslage spitzt sich zu.

(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich; der Beitrag gibt die Meinung des Autors wieder)

Autor: Christiane Schulzki-Haddouti

Autorenbild

Christiane Schulzki-Haddouti berichtet seit 1996 über das Leben in der Informationsgesellschaft mit seinen Chancen und Schwierigkeiten. Über verschiedene Aspekte der Technik- und Mediengestaltung hat sie mehrere Bücher und Studien verfasst.
Alle Beiträge von Christiane Schulzki-Haddouti anzeigen

3 Kommentare

  • uste
    12.05.2012, 02:32 Uhr.

    Klar.
    Ich teile doch gerne anderen mit dass ich sensible Daten habe und mit welchen Versuchen diese abgegriffen werden sollten.

  • marc
    12.05.2012, 10:31 Uhr.

    Friedrich, ist das nicht der der gerade fordert, dass die Daten z.B. von SIEMENS, BMW und DAIMLER weltweit von Verbrechern sauber aufgelistet über Schnittstellen auf Vorrat abgegriffen werden können sollen? Irre ;-D

  • marc
    12.05.2012, 11:52 Uhr.

    Spam deleted :-DED Friedrich übernehmen Sie!

Kommentare geschlossen

Dieser Beitrag kann nicht länger kommentiert werden.