10.03.2014, 15:24 Uhr | 0 |

Umstrittene Meldepflicht für Cyber-Attacken Cyber-Kriminalität boomt – Auftragsspam ab fünf Dollar

Vor einem Boom der Cyber-Kriminalität warnt Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seine Forderung nach einer Meldepflicht für Cyber-Attacken bleibt indes umstritten. Deutsche Wirtschaftsverbände sehen darin „keinen Mehrwert“ und befürchten Schwierigkeiten für die betroffenen Unternehmen. 

Cyber-Kriminalität
Á

Cyber-Kriminalität boomt. Davor warnt BSI-Präsident Michael Hange. Eine Meldepflicht für geschädigte Unternehmen ist umstritten. Firmen fürchten doppelten Schaden dadurch. 

Foto: dpa/Julian Stratenschulte

Die Idee, das Unternehmen verbindlich melden müssen, wenn sie Opfer von Cyber-Attacken werden, ist nicht neu. Bereits in der letzten Legislaturperiode gab es Vorstöße, ein „IT-Sicherheitsgesetz“ zu verabschieden. Union und SPD befürworteten dies angesichts der steigenden Gefahr von Cyber-Attacken auch gegen öffentliche Versorgungseinrichtungen wie Krankenhäuser, Finanzinstitute oder das Energienetz. Jetzt geht die Diskussion über die verbindliche Meldepflicht für Cyber-Attacken weiter. CDU/CSU und SPD haben sich im Koalitionsvertrag auf die „Verpflichtung zur Meldung erheblicher IT-Sicherheitsfälle“ geeinigt. Nun legt BSI-Präsident Michael Hange in einem aktuellen Interview mit der „Welt“ nach und wirbt für die Meldepflicht.

Hange: „Kriminelle Dienstleistungen kann man sehr günstig einkaufen“

„Kritische Infrastrukturen etwa im Banken-, Energie-, Logistik-, Telekommunikations- oder Medienunterbereich sind nicht nur Sache der Unternehmen selbst“, sagte Hange der „Welt“. „Denn hinsichtlich deren Sicherheit geht es um das Gemeinwohl. Inzwischen sind insgesamt 28 Branchen identifiziert, an die besondere Anforderungen in Form von Mindeststandards zu stellen sind.“

Michael Hange ist neuer BSI-Präsident Bundesamt für Sicherheit und Informationstechnik
Á

BSI-Präsident Michael Hange.

Foto: BSI

Der Hintergrund für solche Forderungen ist laut Hange eine „boomende Untergrundökonomie“, denn die Cyber-Angriffe seien für Internetkriminelle höchst attraktiv. Hanges Angaben zufolge sind monatlich weltweit sieben Millionen neue Varianten von Schadprogrammen im Umlauf. In Deutschland habe es 2013 allein 2200 DDos-Attacken gegeben, also Angriffe im Internet, mit denen Webserver und Netzwerke lahmgelegt werden können. „Solche kriminellen Dienstleistungen kann man sehr günstig einkaufen, eine Stunde kostet gerade mal fünf Dollar." Global seien ferner 1200 Bot-Netze geschaltet, mit denen Computer ohne Wissen der Inhaber ferngesteuert werden könnten. Kriminelle vermieten diese Netze, etwa zum Versenden von Spam-Mail.

Für den normalen Internetnutzer reiche meist die Installation einer Firewall, der neueste Virenschutz und die Verwendung von aktueller Software, um sich zu schützen. „Damit könnten bis zu 90 Prozent der Standardangriffe abgewehrt werden“, meint Hange. Unternehmen müssten allerdings mehr investieren. Inzwischen wären insgesamt 28 Branchen identifiziert, an die besondere Anforderungen in Form von Mindeststandards zu stellen seien. Sie sollten dem BSI künftig lediglich Attacken mit erheblichen Auswirkungen melden.

Wirtschaftsverbände sehen keinen Mehrwert in der Meldepflicht

Dass viele Unternehmen ihre Schadensfälle bei Cyber-Attacken lieber für sich behalten wollen, lässt Hange nicht gelten. „Wir brauchen belastbare Daten zu Cyberangriffen. Nur wenn man die Anzahl der Fälle und ihre Qualität kennt, kann man Mindeststandards für eine bessere Sicherheit entwickeln.“ Das allerdings bezweifeln Wirtschaftsverbände in Deutschland. Der Bundesverband der Deutschen Industrie (BDI), der Branchenverband Bitkom und der Deutsche Industrie- und Handelskammertag (DIHK) sehen keinen Mehrwert in der Meldepflicht.

„Die Cybersicherheit und das von Amtswegen erhoffte bessere Lagebild wird durch eine Meldepflicht nicht erreicht“, schreiben der BDI und der DIHK in einer gemeinsamen Erklärung. Sie befürchten sogar, dass Unternehmen durch die Meldepflicht in Schwierigkeiten gebracht werden können. So müssten vor einer Meldung mögliche Konsequenzen für das Unternehmen geprüft werden und börsennotierte Unternehmen müssten zudem überlegen, ob sie ihre Aktionäre zu warnen hätten. „Letztlich ist davon auszugehen, dass derartige Ereignisse auf Dauer nicht vertraulich bleiben. Im Extremfall hat die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst.“

Anzeige
Von Gudrun von Schoenebeck
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden