EXKLUSIV-Friedrich plant Firmen-Meldepflicht für Cyber-Angriffe

Dienstag, 22. Januar 2013, 16:07 Uhr
 

Berlin (Reuters) - Um Deutschland wirksamer gegen die steigende Zahl von Cyber-Attacken zu schützen, will Bundesinnenminister Hans-Peter Friedrich (CSU) noch in dieser Legislaturperiode eine Meldepflicht für die Betreiber sensibler Infrastruktur-Einrichtungen oder -Netze einführen.

Das geht aus einem Gesetzentwurf des Innenministeriums hervor, der sich seit Montag in der Ressortabstimmung befindet und Reuters vorliegt. Vor allem Telekommunikationsanbieter werden zudem verpflichtet, organisatorische und technische Vorkehrungen zu treffen, um die Nutzer besser gegen Angriffe über das Internet zu schützen.

Hintergrund ist die zunehmende Sorge in der Bundesregierung vor Cyber-Attacken durch Kriminelle, aber auch ausländische Firmen und Staaten gegen Ziele in Deutschland. Dabei geht es teilweise um Wirtschaftsspionage, die die Bundesregierung angesichts der internationalen Konkurrenz als eine der großen Bedrohungen für die Wettbewerbsfähigkeit Deutschland sieht. Westliche Geheimdienste fürchten aber auch terroristische Attacken, die etwa die Strom- oder Finanzversorgung eines ganzen Landes lahmlegen könnten.

Auch in den USA will Präsident Barack Obama mit Hinweis auf die große Gefährdung für Volkswirtschaft und innere Sicherheit dortigen Firmen verpflichten, Cyber-Angriffe zu melden. Dies geschieht bisher meist nicht, weil börsennotierte Unternehmen fürchten, dass die Bekanntgabe von Attacken einen Absturz ihres Aktienwerts an den Finanzmärkten nach sich ziehen könnte. Dadurch, so heißt es in deutschen Sicherheitskreisen, könnten Angreifer aber oft über einen längeren Zeitraum ungestört agieren. Das Bekenntnis zu einem verstärkten gemeinsamen Kampf gegen Cyberkriminalität findet sich auch in der Erklärung der Regierungen Deutschlands und Frankreichs zum 50. Jahrestag des Elysee-Vertrages vom Dienstag.

BSI SOLL ZENTRALE MELDE- UND PRÜFSTELLE WERDEN

Friedrich hatte im vergangenen Jahr mehrere Gespräche mit führenden Firmen- und Branchenvertretern geführt, die Betreiber kritischer Infrastruktur sind. Dazu gehörten etwa die Finanz-, Versicherungs- und IT-Branche sowie die Bereiche Telekommunikation, Energie, Transport, Wasser, Ernährung, Medien und Gesundheit. Dabei ist deutlich geworden, wie stark die Firmen in den unterschiedlichsten Bereichen mittlerweile von IT-Technologie abhängen und dadurch auch anfällig für Cyber-Attacken werden. Gemeinsame zertifizierte Standards, wie man sich schützen kann, gibt es bisher nicht.

Den Betreibern sollen nun vor allem zwei Auflagen gemacht werden. Zum einen werden sie angehalten, innerhalb eines Jahres sowohl organisatorische als auch technische Vorkehrungen zu treffen, um auf dem neuesten Stand bei der Gefahrenabwehr zu sein. Dabei könnten Verbände und Infrastruktur-Betreiber eigene branchenspezifische Sicherheitsstandards erarbeiten, die dann aber beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt werden müssen. Alle zwei Jahre sollen unabhängige Prüfer die Einhaltung der Standards überprüfen. Dies gilt wegen des schnellen technischen Fortschritts in der IT-Branche als wichtig.

Das BSI soll gleichzeitig als zentrale Meldestelle für Cyber-Attacken agieren. "Betreiber kritischer Infrastrukturen haben über die Warn- und Alarmierungskontakte ... Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die Auswirkungen auf die eigene Funktionsfähigkeit haben können, unverzüglich an das Bundesamt zu melden", heißt es in dem Gesetzentwurf.

Wer ein Telekommunikationsnetz betreibt, wird zudem verpflichtet, bei umfassenden Viren-Angriffen auf Computer die Betroffenen umgehend über die Gefährdung ihrer Geräte zu informieren. "Soweit technisch möglich und zumutbar, müssen den Nutzern angemessene, wirksame und zugängliche technische Mittel zur Verfügung gestellt werden, mit deren Hilfe die Nutzer Störungen, die von ihren Datenverarbeitungssystemen ausgehen, erkennen und beseitigen können", heißt es in dem Gesetzentwurf.