Internetkriminalität : Innenminister Friedrich will Meldepflicht für IT-Angriffe

Der Gesetzentwurf des Innenministers sieht vor, die Kompetenzen in Sachen Cyberabwehr noch stärker auf der Bundesebene zu bündeln. Unternehmen und die FDP sind dagegen.

Cassidian, der Sicherheitsableger des europäischen Rüstungskonzerns EADS, hat eine neue Tochter. Die Cassidian Cybersecurity GmbH wurde 2012 in Deutschland gegründet und will sich auf die Abwehr von Advanced Persistence Threats spezialisieren, also von Spionage- und Sabotageangriffen mittels aufwendiger Schadsoftware, wie sie fast nur Regierungen programmieren lassen können. Man sehe definitiv den Bedarf, sagte ein Mitarbeiter am Rande des Polizeikongresses in Berlin in dieser Woche. Auch aus dem Bereich der "kritischen Infrastrukturen" habe man schon Kunden gewonnen.

Es ist einer der schlimmsten Albträume deutscher Sicherheitspolitiker: Ein gelungener Angriff auf die Strom-, oder Wasserversorgung mittels Schadsoftware. Wie wahrscheinlich ein solcher Angriff tatsächlich ist, wird sehr unterschiedlich bewertet. Ausschließen will ihn allerdings niemand, seit 2010 Stuxnet aufgetaucht ist, die erste bekannte Malware, die sich auch gegen eine physische Struktur wandte: Sie konnte auf die Steuerung von Siemens-Industrieanlagen zugreifen.

Bundesinnenminister Hans-Peter Friedrich (CSU) hat deshalb angekündigt, per Gesetz eine Meldepflicht für IT-Angriffe auf kritische Infrastrukturen einzuführen. "IT-Ausfälle stellen eine reale Gefahr da", heißt es in dem Gesetzentwurf, der dem Tagesspiegel vorliegt. Man müsse den "Schutz der gestiegenen Bedrohungslage" anpassen.

Bislang sei das Niveau der IT-Sicherheit in den Unternehmen noch sehr unterschiedlich. Friedrich schlägt deshalb vor, dass "erhebliche" Vorfälle jährlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden sollen. Der Gesetzentwurf würde die Kompetenzen in Sachen Cyberabwehr noch stärker auf der Bundesebene bündeln. Das BSI wird bereits seit mehreren Jahren ausgebaut, zuletzt übernahm es die Federführung im "Cyberabwehrzentrum", einem Koordinationskreis öffentlicher Stellen für Cybersicherheit. Durch das "IT-Sicherheitsgesetz" würde das BSI weitere 122 Stellen bekommen. Auch die Zuständigkeit des Bundeskriminalamts für Computerdelikte würden ausgeweitet.

Unternehmen setzen auf Freiwilligkeit

Eine Meldepflicht für versuchte IT-Angriffe besteht bislang nicht, obwohl das Internet zunehmend zu einer Querschnittstechnologie wird, deren Ausfall alle Branchen betreffen würde, wie auch der Chef des Verbands der deutschen Internetwirtschaft (Eco), Michael Rotert einräumt. Zwar arbeitet das BSI bereits heute mit den Betreibern kritischer Infrastrukturen zusammen. 2011 wurde bei einer Ernstfallübung erstmals ein Szenario geprobt, bei dem größere Teile der IT-Infrastruktur ausfielen. Zudem gibt es in der IT-Branche einen starken informellen Austausch. Zwischen den verschiedenen Industriezweigen aber ist die Kommunikation noch begrenzt. Dennoch setzen Eco und der Bund der Deutschen Industrie auf Freiwilligkeit. Sie fürchten den bürokratischen Aufwand.

Auch die FDP, namentlich Bundeswirtschaftsminister Philipp Rösler, lehnt den Vorschlag ab. Jimmy Schulz, netzpolitischer Sprecher der Liberalen, wandte ein, die Aufstockung des BSI um 120 Mitarbeiter sei ohnehin problematisch – weil der Markt eine so große Zahl an Experten gar nicht hergebe, die bereit sind, sich nach den Tariflöhnen im öffentlichen Dienst bezahlen zu lassen.

Doch selbst, wenn es Friedrichs Vorschlag nicht schafft, müssen sich die Verbände möglicherweise auf eine Meldepflicht einstellen. Am 7. Februar haben die EU-Kommissarinnen Neelie Kroes und Cecilia Malmström eine EU-weite Meldepflicht vorgeschlagen. Ein Blick in den Sicherheitsbericht des Anti-Viren-Software-Herstellers Symantek offenbart allerdings: Am gefährdetsten ist weltweit der öffentliche Sektor selbst. 25 Prozent der registrierten Email-Angriffe richten sich gegen Regierungen und Behörden.  

Erschienen im Tagesspiegel

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

14 Kommentare Seite 1 von 2 Kommentieren

Home Office...

Aussendienstler die Datenbankzugriff (Replizieren...) haben müssen usw. Vielleicht nicht beim Kleinbetrieb um´s Eck´ vonnöten, aber es soll ja auch noch grössere geben. VPN ggf. ein Token, eine gute Hardware Firewall, aktuelle und gut gewartete Server - das wäre schon ein gute Lösung! Leider sparen viele Firmen bei der IT Administration, das ist das eigentliche Problem.

Infrastruktur im 21. Jahrhundert

Die Infrastruktur ist heute nunmal vernetzt, das hat Vorteile und auch Nachteile, genauso wie Dampfmaschine statt Pferd, Elektrizität statt Feuer, Wikipedia statt Brockhaus. Dadurch wird das Netz selbst zur Infrastruktur. Die meisten Politiker bedienen hier jedoch nur wieder Angstbilder, ohne sich wirklich mit dem Thema zu beschäftigen, bzw. auf Menschen zu hören, die sich mit Sicherheit auskennen. Das eigentliche Problem mit unserer digitalen Sicherheit momentan ist, dass die Hersteller von Produkten nicht für die Sicherheit ihrer Produkte haften. Wenn Windows eine Sicherheitslücke aufweist, die Microsoft bekannt, aber noch nicht behoben ist, dann haftet Microsoft trotzdem nicht, wenn mir jemand meine Daten stiehlt. Solange das der Fall ist, wird es keine Anreize geben, für einigermaßen sichere Systeme zu sorgen.

Infrastruktur

Sie werden es kaum glauben, aber irgendwelche Wahnsinnigen haben tatsächlich Geräte wie Ampelschaltungne und Wasserversorgung and das Internet gekoppelt - frei nach dem Motto, aus der Ferne ist die Steuerung einfacher
Leider sind diese Systeme kaum oder gar nicht geschützt. Dazu gab es auch eine TED talk.
Es ist erstaunlich wie viele Dummheiten in dieser Hinsicht begangen werden.
Mit dem Thema IT Sicherheit kennen sich die wenigsten aus - und wenn man etwa seitlich schützen will dann ist eine Trennung der Netze ein muss. Alles was mit dem Internet verbunden ist kann gehackt werden - die Frage ist bloß kit welchem Aufwand. Auch wine Trennung set Netze ist keine Garantie aber ein riesiger Schritt und die richtige Richtung.

Rechtsfreier Raum = Freiheit?

prinzipiell würde ich die Freiheit vorziehen. Allerdings in einer idealen Welt. Da wir von dieser weit entfernt sind, benötigen wir doch noch hin und wieder Regeln und exekutiven Schutz. Dieser ist in demokratischen Systemen für den einzelnen akzeptabel, meine ich. Brauchen wir also einen rechtsfreien Raum im Internet? Ich gehe mit unseren Strukturen soweit konform, dass ich eine Kontrolle der virtuellen wie in der realen Welt für sinnvoll halte. Mich im Internet mit Werbung lästiger Firmen und kriminellen Angriffen rumärgern zu müssen, empfinde ich nicht als Freiheit. Dass Unternehmertum und FDP diese Kontrole nicht wollen, macht mich dann doch stutzig. Die Argumentation gegen die Kontrolle ist lächerlich. Stellt sich nur die Frage, welches Interesse seiten FDP=Unternehmertum tatsächlich dahinter steckt.

aber mir geht es darum

Wenn Sicherheit, dann für alle. Staatliche Einrichtungen sollten den Zweck erfüllen, den Schwachen zu helfen: Das sind die normalen Bürger. Von großen Firmen, die ich zu den Starken zähle, erwarte ich soviel Professionalität, dass sie sich selbst helfen und beurteile sie dann eher nach dem Maßstab von Nr.1. Die Antwort ist bekannt, aber die Frage ist ungewiß...;-)

Was bitte hilft denn eine Meldepflicht?

Wird die Bundesregierung dann demnächtstauch Israel oder die USA Verklagen wenn ein neuer Stuxnet "irrtümlich" auch hier Schaden bei der meldepflichtigen Industrie Verursacht? Sicher nicht.
Es gibt keine sichere "IT Infrastruktur" wie es auch kein sicheres Türschloss gibt, dies sollte wohl langsam den letzten Innenminister klar werden.
Der aber mit Regierungs und EU Hilfe eingeschlagene Weg von "Smart Grid", "Cloud Sytem Einsatz" ect. weist in eine andere Richtung
Man kann das Risiko nur Minimieren indem man kritische Infrastruktur vom Internet weitgehend Autark betreibt und auch nicht mit "allerwelts Consumer" Bertriebssystemen oder Hardware welche dafür nicht geeignet ist, dafür dann lieber Millionen für zweifelhafte Anti-Viren-Software-Hersteller ausgeben.
Wer Sicherheit will wird seine Armee sicher auch nicht mit einem "VW-Golf" von der "Stange" statt eines Humvee in den Einsatz ziehen lassen.
Beeser wäre es wohl eigene spezielle Betriebssysteme und Hardware zu Entwickeln zu lassen für die Sicherheitskritische Infrastruktur des Landes.
Nur würde dieses Kosten Verursachen, also setzt man Politiker Typisch wieder auf ein Plazebo Meldepflicht um hinterher einen Gegner beschuldigen zu können, aber ihn kaum Haftbar machen zu können.