Über 44.000 Unternehmen betroffen EU will Meldepflicht bei Cyber-Attacken

München · Die EU-Kommission will wichtige Infrastruktur-Netze in der Union besser gegen Hacker-Attacken schützen. Angesichts der wachsenden Bedrohung plant die Kommission, für mehrere Branchen eine Meldepflicht einzuführen. Dazu legten die drei zuständigen Kommissare am Samstag erstmals Details vor.

Spektakuläre Verbrechen im Netz
Infos

Spektakuläre Verbrechen im Netz

Infos
Foto: dapd

Von den Plänen wären neben Banken und Börsen die Energie-, Gesundheits- und Verkehrsbranche, aber auch Internetanbieter und die öffentliche Verwaltung betroffen. Die Kommission schätzt, dass die geplanten Auflagen für etwa 44.000 Unternehmen gelten. Hintergrund sind die massiv gestiegenen Internet-Angriffe.

Allein in den letzten fünf Monaten habe es über 100 Attacken gegen einzelne an der Wall Street vertretene Banken gegeben, sagte der Chef des US Cyber Commands, General Keith Alexander, auf der Münchner Sicherheitskonferenz.

Deutsche-Telekom-Chef Rene Obermann sprach in München davon, dass sein Unternehmen im eigenen Netz 300.000 bis 400.000 Angriffe täglich registriere. Beide plädierten in München ebenfalls für eine enge Abstimmung zwischen den Regierungen und den Internet-Providern.

Staaten sollen Strategien erarbeiten

Kommissionsvizepräsidentin Neelie Kroes (Wettbewerb), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton kündigten am Samstag an, die Richtlinie in den kommenden Monaten durchsetzen zu wollen. Die Selbstregulierung der Wirtschaft reiche nicht mehr aus, betonten Kroes und Bundesinnenminister Hans-Peter Friedrich in München.

Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es jetzt in dem Papier. Die EU-Staaten werden aufgefordert, eine nationale Strategie für den Kampf gegen Cyber-Kriminalität vorzulegen. Jede EU-Regierung muss eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen.

Die Firmen sollen verpflichtet werden, größere Vorfälle den nationalen Behörden zu melden. Auf EU-Ebene sollen Informationen ausgetauscht und gemeinsame Abwehrmaßnahmen koordiniert werden.

Die Maßnahmen gehen auf die wachsende Zahl von Angriffen nicht nur auf öffentliche Einrichtungen, sondern auch auf Firmen durch Hacker, ausländische Regierungen und vermutlich auch extremistische Gruppen. Vor allem Ländern wie China und Russland wird regelmäßig Industriespionage und Sabotage vorgeworfen.

Diebstahl und Sabotage

"Natürlich werden die Vorwürfe als Handelswaffe genutzt", sagte der Cyber-Sicherheitschef des chinesischen IT-Konzern Huawei, John Suffolk, zu Reuters. Ins Visier nehmen die Angreifer dabei zunehmend auch die Betreiber wichtiger Infrastruktur wie etwa von Stromnetzen.

Bundesinnenminister Friedrich warnte, dass eine moderne, vernetzte Volkswirtschaft durch Angriffe auf die Energieversorgung oder die Banken lahmgelegt werden könne. Der Chef der Vereinigung der bayerischen Wirtschaft, Randolf Rodenstock, verwies am Freitag auf Schätzungen, nach denen der Schaden aus Cyber-Kriminalität rund eine Billion Euro betrage.

Bei dem versuchten Eindringen in geschützte IT-Netzwerke der Firmen geht es nach Angaben deutscher Sicherheitsbehörden zum einen um den Diebstahl wichtiger Daten, zum anderen aber auch um Sabotage. Vor allem börsennotierte Unternehmen scheuen aber eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hacker-Angriffe bekanntwerden.

Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Regierungen Hinweise auf die eigene Verletzlichkeit auch an Wettbewerber gelangen könnten.

USA und Deutschland als Vorreiter

Die EU-Kommission folgt mit ihrem Plan der amerikanischen und der deutschen Regierung. US-Präsident Barack Obama wollte bereits in der ersten Legislaturperiode eine Meldepflicht für Cyber-Attacken einführen, war damit aber zunächst im US-Kongress gescheitert. Nun will er einen zweiten Anlauf unternehmen.

Deutschland ist derzeit etwas weiter als die USA und die EU. Bundesinnenminister Friedrich hat bereits einen Gesetzentwurf in die Ressortabstimmung eingebracht, der im März im Kabinett verabschiedet werden soll. Er sieht ebenfalls eine Meldepflicht für Firmen vor und will von den Betreibern kritischer Infrastruktur einfordern, sich gegen Angriffe zu schützen.

Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik geprüft und abgenommen werden. Anders als die EU-Kommission will Friedrich aber auch die Medien verpflichten, sich besser gegen Angriffe zu schützen und die Sicherheitsstandards zu verbessern.

Erst am Freitag hatte die "New York Times" berichtet, dass sich chinesische Hacker in das interne Redaktionsnetz eingewählt und die Passwörter sämtlicher Redakteure gestohlen hätten. Am Samstag wurden Attacken auf Nutzerdaten beim Kurznachrichtendienst Twitter gemeldet.

(REU/csr)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort