EU will Meldepflicht für Finanzfirmen bei Cyber-Attacken

Samstag, 2. Februar 2013, 15:40 Uhr
 

München (Reuters) - Die EU-Kommission will wichtige Infrastruktur-Netze in der Union besser gegen Hacker-Attacken schützen.

Angesichts der wachsenden Bedrohung plant die Kommission nach Informationen der Nachrichtenagentur Reuters, für mehrere Branchen eine Meldepflicht einzuführen. Erstmals haben die drei zuständigen Kommissare Details in einem Reuters vorliegenden Strategiepapier vorgelegt. Danach sind neben Banken und Börsen auch die Energie-, Gesundheits- und Verkehrsbranche betroffen. Auch Internetanbieter und die öffentliche Verwaltung sind betroffen. Die Kommission schätzt, dass die Auflagen für etwa 44 000 Unternehmen gelten.

Kommissionsvizepräsidentin Neelie Kroes (Wettbewerb), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton wollen die Richtlinie in den kommenden Monaten durchsetzen. Kroes hatte die Initiative im November angekündigt, weil die Selbstregulierung der Wirtschaft angesichts der Bedrohung nicht mehr ausreiche. Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es jetzt in dem Papier. Die EU-Staaten werden aufgefordert, eine nationale Strategie für den Kampf gegen Cyber-Kriminalität vorzulegen. Jede EU-Regierung muss eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. Die Firmen sollen verpflichtet werden, größere Vorfälle den nationalen Behörden zu melden. Auf EU-Ebene sollen Informationen ausgetauscht und gemeinsame Abwehrmaßnahmen koordiniert werden.

Hintergrund ist die wachsende Zahl von Angriffen nicht nur auf öffentliche Einrichtungen, sondern auch auf Firmen durch Hacker, ausländische Regierungen und vermutlich auch extremistische Gruppen. Ins Visier nehmen die Angreifer dabei zunehmend auch die Betreiber wichtiger Infrastruktur wie Stromnetzen. Bundesinnenminister Hans-Peter Friedrich hatte gewarnt, dass eine moderne, vernetzte Volkswirtschaft durch Angriffe auf die Energieversorgung oder die Banken lahmgelegt werden könne. Der Chef der Vereinigung der bayerischen Wirtschaft, Randolf Rodenstock, verwies am Freitag auf Schätzungen, nach denen der Schaden aus Cyber-Kriminalität rund eine Billion Euro betrage.

Bei dem versuchten Eindringen in geschützte IT-Netzwerke der Firmen geht es nach Angaben deutscher Sicherheitsbehörden zum einen um den Diebstahl wichtiger Daten, zum anderen aber auch um Sabotage. Vor allem börsennotierte Unternehmen scheuen aber eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hacker-Angriffe bekanntwerden. Zudem gibt es Misstrauen, dass durch einen Informationsaustausch von EU-Regierungen Hinweise auf die eigene Verletzlichkeit auch an Wettbewerber gelangen könnten.

USA UND DEUTSCHLAND ALS VORREITER

Die EU-Kommission folgt mit ihrem Plan der amerikanischen und der deutschen Regierung. US-Präsident Barack Obama wollte bereits in der ersten Legislaturperiode eine Meldepflicht für Cyber-Attacken einführen, war damit aber zunächst im US-Kongress gescheitert. Nun will er einen zweiten Anlauf unternehmen.

Deutschland ist etwas weiter. Bundesinnenminister Friedrich hat bereits einen Gesetzentwurf in die Ressortabstimmung eingebracht, der im März im Kabinett verabschiedet werden soll. Er sieht ebenfalls eine Meldepflicht für Firmen vor und will von den Betreibern kritischer Infrastruktur einfordern, sich gegen Angriffe zu schützen. Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik geprüft und abgenommen werden.

Anders als die EU-Kommission will Friedrich aber auch die Medien verpflichten, sich besser gegen Angriffe zu schützen und die Sicherheitsstandards zu verbessern. Erst am Freitag hatte die "New York Times" berichtet, dass sich chinesische Hacker in das interne Redaktionsnetz eingewählt und die Passwörter sämtlicher Redakteure gestohlen hätten. Am Samstag wurden Attacken auf Nutzerdaten beim Kurznachrichtendienst Twitter gemeldet.

- von Andreas Rinke