Firmen-Meldepflicht für Cyberangriffe geplant
Dieser Artikel ist älter als ein Jahr!
Telekommunikationsanbieter sollen zudem verpflichtet werden, organisatorische und technische Vorkehrungen zu treffen, um die Nutzer besser gegen Angriffe über das Internet zu schützen.Das geht aus einem Gesetzentwurf des Innenministeriums hervor, der sich seit Montag in der Ressortabstimmung befindet und Reuters vorliegt.
Hintergrund ist die zunehmende Sorge in der Bundesregierung vor Cyberattacken durch Kriminelle, aber auch ausländische Firmen und Staaten gegen Ziele in Deutschland. Dabei geht es teilweise um Wirtschaftsspionage, die die Bundesregierung angesichts der internationalen Konkurrenz als eine der großen Bedrohungen für die Wettbewerbsfähigkeit Deutschland sieht. Westliche Geheimdienste fürchten aber auch terroristische Attacken, die etwa die Strom- oder Finanzversorgung eines ganzen Landes lahmlegen könnten.
Ähnliche Pläne in den USA
Auch in den USA will Präsident Barack Obama mit Hinweis auf die große Gefährdung für Volkswirtschaft und innere Sicherheit dortigen Firmen verpflichten, Cyberangriffe zu melden. Dies geschieht bisher meist nicht, weil börsennotierte Unternehmen fürchten, dass die Bekanntgabe von Attacken einen Absturz ihres Aktienwerts an den Finanzmärkten nach sich ziehen könnte. Dadurch, so heißt es in deutschen Sicherheitskreisen, könnten Angreifer aber oft über einen längeren Zeitraum ungestört agieren.
Friedrich hatte im vergangenen Jahr mehrere Gespräche mit führenden Firmen- und Branchenvertretern geführt, die Betreiber kritischer Infrastruktur sind. Dazu gehörten etwa die Finanz-, Versicherungs- und IT-Branche sowie die Bereiche Telekommunikation, Energie, Transport, Wasser, Ernährung, Medien und Gesundheit. Dabei ist deutlich geworden, wie stark die Firmen in den unterschiedlichsten Bereichen mittlerweile von IT-Technologie abhängen und dadurch auch anfällig für Cyberattacken werden. Gemeinsame zertifizierte Standards, wie man sich schützen kann, gibt es bisher nicht.
Sicherheitsstandards
Den Betreibern sollen nun vor allem zwei Auflagen gemacht werden. Zum einen werden sie angehalten, innerhalb eines Jahres sowohl organisatorische als auch technische Vorkehrungen zu treffen, um auf dem neuesten Stand bei der Gefahrenabwehr zu sein. Dabei könnten Verbände und Infrastruktur-Betreiber eigene branchenspezifische Sicherheitsstandards erarbeiten, die dann aber beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt werden müssen. Alle zwei Jahre sollen unabhängige Prüfer die Einhaltung der Standards überprüfen. Dies gilt wegen des schnellen technischen Fortschritts in der IT-Branche als wichtig.
Das BSI soll gleichzeitig als zentrale Meldestelle für Cyber-Attacken agieren. „Betreiber kritischer Infrastrukturen haben über die Warn- und Alarmierungskontakte ... Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die Auswirkungen auf die eigene Funktionsfähigkeit haben können, unverzüglich an das Bundesamt zu melden“, heißt es in dem Gesetzentwurf.
Verpflichtungen für Telekomanbieter
Wer ein Telekommunikationsnetz betreibt, wird zudem verpflichtet, bei umfassenden Viren-Angriffen auf Computer die Betroffenen umgehend über die Gefährdung ihrer Geräte zu informieren. „Soweit technisch möglich und zumutbar, müssen den Nutzern angemessene, wirksame und zugängliche technische Mittel zur Verfügung gestellt werden, mit deren Hilfe die Nutzer Störungen, die von ihren Datenverarbeitungssystemen ausgehen, erkennen und beseitigen können“, heißt es in dem Gesetzentwurf.
- Tests für den Cyber-Ernstfall
- EU erwägt Meldeplicht nach Hackerangriffen
- Cyberangriffe: Zentrale Meldestelle für Firmen
Kommentare