Nachrichten

Anzeigepflicht für den Einbruch im Firmen-PC: Brüssel plant Meldepflicht für Cyber-Angriffe

enn ein Einbrecher einen Bank-Tresor knackt, ist die Bank nicht unbedingt auf Öffentlichkeit aus. Wer glaubt sein Geld dort noch sicher? Einbrüche betreffen aber längst nicht mehr nur die reale, sondern auch die digitale Welt. Firmencomputer werden nach Angaben aus der Wirtschaft täglich tausendfach angegriffen und häufig geknackt. Die EU-Kommission will Unternehmen wichtiger Branchen deshalb eine Meldepflicht auferlegen.

Von Phillipp Saure

Brüssel (afp) – Wenn ein Einbrecher einen Bank-Tresor knackt, ist die Bank nicht unbedingt auf Öffentlichkeit aus. Wer glaubt sein Geld dort noch sicher? Einbrüche betreffen aber längst nicht mehr nur die reale, sondern auch die digitale Welt. Firmencomputer werden nach Angaben aus der Wirtschaft täglich tausendfach angegriffen und häufig geknackt. Die EU-Kommission will Unternehmen wichtiger Branchen deshalb eine Meldepflicht auferlegen. Den Gesetzesplan will sie am Donnerstag in Brüssel vorstellen. Im Dienste der Allgemeinheit könnten Sicherheitslücken von Unternehmen dann sogar der ganzen Welt offengelegt werden.

„Wer sagt schon gerne, dass bei ihm eingebrochen wurde?“, bringt der Europaabgeordnete Alexander Alvaro (FDP) das Problem aus Sicht der Unternehmen auf den Punkt. Doch der Liberale verweist ausdrücklich auf den Nutzen für die Wirtschaft selbst: Der Austausch über Schwachpunkte könne die IT-Sicherheit insgesamt voranbringen.

„Ein Unternehmen muss gewährleisten, dass es nicht zur Verteilerstation von Viren oder Schadprogrammen wird“, urteilt Monika Hohlmeier (CSU). Allerdings könne das nicht heißen, alle Firmen unterschiedslos in die Pflicht zu nehmen. Kleinstunternehmen sind im Gesetzesplan jetzt schon außen vor. „Beim Mittelstand wird man sehr sorgfältig prüfen müssen, dass Kosten und Sicherheitsgewinn in einem vernünftigen Verhältnis stehen“, kündigt die EU-Parlamentarierin an.

Dabei geht es nicht nur um Einbrecher. IT-Systeme werden von ähnlichen Gefahren bedroht wie die wirkliche Welt, nämlich „menschlichen Irrtümern, Naturereignissen, technischem Versagen oder bösartigen Angriffe“, schreibt die EU-Kommission in einem Begleitpapier zum Gesetzesvorschlag. „Diese Vorfälle werden größer, häufiger und komplexer.“

Jetzt sollen Firmen wichtiger Branchen solche Vorfälle melden müssen. Darüber hinaus kann die zuständige Behörde die Öffentlichkeit informieren, wie es in dem der Nachrichtenagentur AFP vorliegenden Gesetzentwurf heißt. Voraussetzung: Dies liegt im öffentlichen Interesse.

Betroffen wären Internet-Unternehmen wie Google, Skype und Ebay. Doch auch Akteure aus traditionellen Branchen müssten im Fall des Falles die Hüllen fallen lassen: Banken und Börsen, Energieversorger, Eisenbahnen, Fluggesellschaften und Häfen, Krankenhäuser und öffentliche Verwaltungen.

Laut Gesetzestext geht es um Vorfälle mit „bedeutender Wirkung“ auf das Kerngeschäft. Was darunter fällt, beschreibt die Kommission im Begleitpapier so: Fluglotsendienste werden durch eine Attacke eingeschränkt, ein Online-Buchungsservice funktioniert nicht oder ein Cloud-Computing-Service lässt die Kunden nicht an ihre Online-Konten.

Bisher sind laut Kommission europaweit einzig die Telekom-Unternehmen zur Meldung größerer Vorfälle verpflichtet. Eine Ausweitung „auf alle möglichen Unternehmen“ lehnt der deutsche Branchenverband Bitkom ab, solange die Meldungen nicht vertraulich behandelt werden, wie Sprecher Maurice Shahd sagt: „Die Gefahr eines Imageschadens ist zu hoch.“ Bitkom setze auf Systeme, bei denen freiwillige Meldungen anonym abgegeben werden können.

Die Kommission hingegen baut offenbar gerade auf die abschreckende Wirkung öffentlich gemachter Vorfälle und verweist auf die niederländische Firma Digiotar, bei der es vor zwei Jahren ein großes Sicherheitsleck gegeben habe. Dies sei zunächst vertuscht worden. Als das Leck doch öffentlich wurde, sei der Vertrauensverlust „katastrophal“ gewesen und die Firma ging Bankrott.

Corporate Digital Responsibility:

  • Welche Verantwortung übernehmen Unternehmen gegenüber der Gesellschaft?
  • Wo braucht es gesetzliche Regelungen?
  • Und wo ist eine Unternehmenskultur gefragt, die der Verantwortung gerecht wird?

Diskutieren Sie dieses und andere IT-Verantwortungsthemen beim CSR NEWS-Networking am 6. März auf der CeBIT in Hannover. >> Hier erfahren Sie mehr dazu.