Sicherheit

Brüssel plant Meldepflicht für Hackerangriffe

Mehr als 40.000 Unternehmen in Europa betroffen. Deutsche Industrie wenig überzeugt

Wenn ein Einbrecher einen Bank-Tresor knackt, ist die Bank nicht unbedingt auf Öffentlichkeit aus. Wer glaubt sein Geld dort noch sicher? Einbrüche betreffen aber längst nicht mehr nur die reale, sondern auch die digitale Welt. Firmencomputer werden nach Angaben aus der Wirtschaft täglich tausendfach angegriffen und häufig gehackt. Die EU-Kommission will Unternehmen wichtiger Branchen deshalb eine Meldepflicht auferlegen. Der Plan ist Teil der Cybersicherheitsstrategie. Eine entsprechende Richtlinie zur Netz- und Informationssicherheit schlug die Kommission gleich mit vor.

Um das Internet besser vor kriminellen und terroristischen Angriffen zu schützen, sollen die Betreiber wichtiger Infrastruktur sowie Betreiber von Internetdiensten Hacker-Angriffe oder Computerviren an eine Behörde melden. Die EU will damit der Sorge über Online-Kriminalität begegnen, die das Wachstum der digitalen Wirtschaft bremsen könnte. Betroffen wären wohl mehr als 40.000 Unternehmen in der EU: Banken und Börsen, Energie- und Transportunternehmen, das Gesundheitswesen oder IT-Firmen wie Onlinehändler und Anbieter von Suchmaschinen oder Zahlungssystemen, etwa Internet-Unternehmen wie Google, Skype und Ebay. Doch auch Akteure aus traditionellen Branchen müssten im Fall des Falles die Hüllen fallen lassen: Banken und Börsen, Energieversorger, Eisenbahnen, Fluggesellschaften und Häfen, Krankenhäuser und öffentliche Verwaltungen.

„Ein Unternehmen muss gewährleisten, dass es nicht zur Verteilerstation von Viren oder Schadprogrammen wird“, sagt Monika Hohlmeier (CSU). Allerdings könne das nicht heißen, alle Firmen unterschiedslos in die Pflicht zu nehmen. Kleinstunternehmen sind im Gesetzesplan jetzt schon außen vor. „Beim Mittelstand wird man sehr sorgfältig prüfen müssen, dass Kosten und Sicherheitsgewinn in einem vernünftigen Verhältnis stehen“, kündigt die EU-Parlamentarierin an.

Dabei geht es nicht nur um Einbrecher. IT-Systeme werden von ähnlichen Gefahren bedroht wie die wirkliche Welt, nämlich „menschlichen Irrtümern, Naturereignissen, technischem Versagen oder bösartigen Angriffe“, schreibt die EU-Kommission in einem Begleitpapier zum Gesetzesvorschlag. „Diese Vorfälle werden größer, häufiger und komplexer.“ Dem Gesetzestext zufolge geht es um Vorfälle mit „bedeutender Wirkung“ auf das Kerngeschäft. Zum Beispiel: Fluglotsendienste werden durch eine Attacke eingeschränkt, ein Online-Buchungsservice funktioniert nicht oder ein Cloud-Computing-Service lässt die Kunden nicht an ihre Online-Konten.

Bisher sind europaweit einzig die Telekom-Unternehmen zur Meldung größerer Vorfälle verpflichtet. Eine Ausweitung „auf alle möglichen Unternehmen“ lehnt der deutsche Branchenverband Bitkom ab, solange die Meldungen nicht vertraulich behandelt werden, wie Sprecher Maurice Shahd sagt. „Die Gefahr eines Imageschadens ist zu hoch.“ Bitkom setze auf Systeme, bei denen freiwillige Meldungen anonym abgegeben werden können. Auch der Industrieverband BDI ist skeptisch und kritisierte hohen Verwaltungsaufwand. EU-Telekomkommissarin Neelie Kroes hielt in Brüssel dagegen, das Geheimhalten von Attacken könne den Ruf einer Firma viel stärker ruinieren, sollte der Fall schließlich doch herauskommen.