InternetkriminalitätInnenminister Friedrich will Meldepflicht für IT-Angriffe

Der Gesetzentwurf des Innenministers sieht vor, die Kompetenzen in Sachen Cyberabwehr noch stärker auf der Bundesebene zu bündeln. Unternehmen und die FDP sind dagegen. von Anna Sauerbrey

Cassidian, der Sicherheitsableger des europäischen Rüstungskonzerns EADS, hat eine neue Tochter. Die Cassidian Cybersecurity GmbH wurde 2012 in Deutschland gegründet und will sich auf die Abwehr von Advanced Persistence Threats spezialisieren, also von Spionage- und Sabotageangriffen mittels aufwendiger Schadsoftware, wie sie fast nur Regierungen programmieren lassen können. Man sehe definitiv den Bedarf, sagte ein Mitarbeiter am Rande des Polizeikongresses in Berlin in dieser Woche. Auch aus dem Bereich der "kritischen Infrastrukturen" habe man schon Kunden gewonnen.

Es ist einer der schlimmsten Albträume deutscher Sicherheitspolitiker: Ein gelungener Angriff auf die Strom-, oder Wasserversorgung mittels Schadsoftware. Wie wahrscheinlich ein solcher Angriff tatsächlich ist, wird sehr unterschiedlich bewertet. Ausschließen will ihn allerdings niemand, seit 2010 Stuxnet aufgetaucht ist, die erste bekannte Malware, die sich auch gegen eine physische Struktur wandte: Sie konnte auf die Steuerung von Siemens-Industrieanlagen zugreifen.

Anzeige

Bundesinnenminister Hans-Peter Friedrich (CSU) hat deshalb angekündigt, per Gesetz eine Meldepflicht für IT-Angriffe auf kritische Infrastrukturen einzuführen. "IT-Ausfälle stellen eine reale Gefahr da", heißt es in dem Gesetzentwurf, der dem Tagesspiegel vorliegt. Man müsse den "Schutz der gestiegenen Bedrohungslage" anpassen.

Bislang sei das Niveau der IT-Sicherheit in den Unternehmen noch sehr unterschiedlich. Friedrich schlägt deshalb vor, dass "erhebliche" Vorfälle jährlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden sollen. Der Gesetzentwurf würde die Kompetenzen in Sachen Cyberabwehr noch stärker auf der Bundesebene bündeln. Das BSI wird bereits seit mehreren Jahren ausgebaut, zuletzt übernahm es die Federführung im "Cyberabwehrzentrum", einem Koordinationskreis öffentlicher Stellen für Cybersicherheit. Durch das "IT-Sicherheitsgesetz" würde das BSI weitere 122 Stellen bekommen. Auch die Zuständigkeit des Bundeskriminalamts für Computerdelikte würden ausgeweitet.

Unternehmen setzen auf Freiwilligkeit

Eine Meldepflicht für versuchte IT-Angriffe besteht bislang nicht, obwohl das Internet zunehmend zu einer Querschnittstechnologie wird, deren Ausfall alle Branchen betreffen würde, wie auch der Chef des Verbands der deutschen Internetwirtschaft (Eco), Michael Rotert einräumt. Zwar arbeitet das BSI bereits heute mit den Betreibern kritischer Infrastrukturen zusammen. 2011 wurde bei einer Ernstfallübung erstmals ein Szenario geprobt, bei dem größere Teile der IT-Infrastruktur ausfielen. Zudem gibt es in der IT-Branche einen starken informellen Austausch. Zwischen den verschiedenen Industriezweigen aber ist die Kommunikation noch begrenzt. Dennoch setzen Eco und der Bund der Deutschen Industrie auf Freiwilligkeit. Sie fürchten den bürokratischen Aufwand.

Auch die FDP, namentlich Bundeswirtschaftsminister Philipp Rösler, lehnt den Vorschlag ab. Jimmy Schulz, netzpolitischer Sprecher der Liberalen, wandte ein, die Aufstockung des BSI um 120 Mitarbeiter sei ohnehin problematisch – weil der Markt eine so große Zahl an Experten gar nicht hergebe, die bereit sind, sich nach den Tariflöhnen im öffentlichen Dienst bezahlen zu lassen.

Doch selbst, wenn es Friedrichs Vorschlag nicht schafft, müssen sich die Verbände möglicherweise auf eine Meldepflicht einstellen. Am 7. Februar haben die EU-Kommissarinnen Neelie Kroes und Cecilia Malmström eine EU-weite Meldepflicht vorgeschlagen. Ein Blick in den Sicherheitsbericht des Anti-Viren-Software-Herstellers Symantek offenbart allerdings: Am gefährdetsten ist weltweit der öffentliche Sektor selbst. 25 Prozent der registrierten Email-Angriffe richten sich gegen Regierungen und Behörden.  

Erschienen im Tagesspiegel

Zur Startseite
 
Leserkommentare
  1. Wer so dämlich ist Infrastruktur an das Internet anzuschließen ist sich selbst schuld. Wenn Infrastruktur vom Netz entkoppelt ist muss man nur noch sicherstellen dass keiner USB sticks mitbringt und dass Unbefugte keinen Zugriff haben.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Aussendienstler die Datenbankzugriff (Replizieren...) haben müssen usw. Vielleicht nicht beim Kleinbetrieb um´s Eck´ vonnöten, aber es soll ja auch noch grössere geben. VPN ggf. ein Token, eine gute Hardware Firewall, aktuelle und gut gewartete Server - das wäre schon ein gute Lösung! Leider sparen viele Firmen bei der IT Administration, das ist das eigentliche Problem.

    • jupp0r
    • 22. Februar 2013 11:40 Uhr

    Die Infrastruktur ist heute nunmal vernetzt, das hat Vorteile und auch Nachteile, genauso wie Dampfmaschine statt Pferd, Elektrizität statt Feuer, Wikipedia statt Brockhaus. Dadurch wird das Netz selbst zur Infrastruktur. Die meisten Politiker bedienen hier jedoch nur wieder Angstbilder, ohne sich wirklich mit dem Thema zu beschäftigen, bzw. auf Menschen zu hören, die sich mit Sicherheit auskennen. Das eigentliche Problem mit unserer digitalen Sicherheit momentan ist, dass die Hersteller von Produkten nicht für die Sicherheit ihrer Produkte haften. Wenn Windows eine Sicherheitslücke aufweist, die Microsoft bekannt, aber noch nicht behoben ist, dann haftet Microsoft trotzdem nicht, wenn mir jemand meine Daten stiehlt. Solange das der Fall ist, wird es keine Anreize geben, für einigermaßen sichere Systeme zu sorgen.

  2. immer noch auf eine Softwarefirma aus Redmond setzt und dazu noch gleich alles ins Netz stellen lässt, was bei drei nicht auf dem Baum ist, wundert sich über Sicherheit???

    Alles was nicht ins Netz MUSS ( und Wasser-/E Werke gehören nicht dazu ) hat druassen zu bleiben. Und wichtige Server gehören eingesperrt und nur für Befugte zu sein.

    Eine Leserempfehlung
  3. prinzipiell würde ich die Freiheit vorziehen. Allerdings in einer idealen Welt. Da wir von dieser weit entfernt sind, benötigen wir doch noch hin und wieder Regeln und exekutiven Schutz. Dieser ist in demokratischen Systemen für den einzelnen akzeptabel, meine ich. Brauchen wir also einen rechtsfreien Raum im Internet? Ich gehe mit unseren Strukturen soweit konform, dass ich eine Kontrolle der virtuellen wie in der realen Welt für sinnvoll halte. Mich im Internet mit Werbung lästiger Firmen und kriminellen Angriffen rumärgern zu müssen, empfinde ich nicht als Freiheit. Dass Unternehmertum und FDP diese Kontrole nicht wollen, macht mich dann doch stutzig. Die Argumentation gegen die Kontrolle ist lächerlich. Stellt sich nur die Frage, welches Interesse seiten FDP=Unternehmertum tatsächlich dahinter steckt.

    Reaktionen auf diesen Kommentar anzeigen

    Hier geht es aber nicht um Spam oder rechtfreien Raum - den gibt es im Internet sowieso nicht.

    Hier geht es um die Meldepflicht von Angriffen auf "kritischen Infrastrukturen" z.B. Wasser/Strom/Verkehr/Kommunikation.

    Wenn Sicherheit, dann für alle. Staatliche Einrichtungen sollten den Zweck erfüllen, den Schwachen zu helfen: Das sind die normalen Bürger. Von großen Firmen, die ich zu den Starken zähle, erwarte ich soviel Professionalität, dass sie sich selbst helfen und beurteile sie dann eher nach dem Maßstab von Nr.1. Die Antwort ist bekannt, aber die Frage ist ungewiß...;-)

  4. Aussendienstler die Datenbankzugriff (Replizieren...) haben müssen usw. Vielleicht nicht beim Kleinbetrieb um´s Eck´ vonnöten, aber es soll ja auch noch grössere geben. VPN ggf. ein Token, eine gute Hardware Firewall, aktuelle und gut gewartete Server - das wäre schon ein gute Lösung! Leider sparen viele Firmen bei der IT Administration, das ist das eigentliche Problem.

    Antwort auf "Infrastruktur "
    Reaktionen auf diesen Kommentar anzeigen

    Brauchen die auf alles Zugriff? Nein. Man kann auch da bei sensiblen Daten getrennte Netze nutzen
    Und leider sind meine Erfahrungen mit IT Abteilungen eher schlecht... veraltete Software und teilweise auch veraltete Ansichten bezüglich der Funktionsweise von Betriebssystemen (IT Personal welches in der Zeit von Windows 7 in der Zeit von Win 95 lebt...)

    • jupp0r
    • 22. Februar 2013 11:40 Uhr

    Die Infrastruktur ist heute nunmal vernetzt, das hat Vorteile und auch Nachteile, genauso wie Dampfmaschine statt Pferd, Elektrizität statt Feuer, Wikipedia statt Brockhaus. Dadurch wird das Netz selbst zur Infrastruktur. Die meisten Politiker bedienen hier jedoch nur wieder Angstbilder, ohne sich wirklich mit dem Thema zu beschäftigen, bzw. auf Menschen zu hören, die sich mit Sicherheit auskennen. Das eigentliche Problem mit unserer digitalen Sicherheit momentan ist, dass die Hersteller von Produkten nicht für die Sicherheit ihrer Produkte haften. Wenn Windows eine Sicherheitslücke aufweist, die Microsoft bekannt, aber noch nicht behoben ist, dann haftet Microsoft trotzdem nicht, wenn mir jemand meine Daten stiehlt. Solange das der Fall ist, wird es keine Anreize geben, für einigermaßen sichere Systeme zu sorgen.

    Antwort auf "Infrastruktur "
    Reaktionen auf diesen Kommentar anzeigen

    Sie werden es kaum glauben, aber irgendwelche Wahnsinnigen haben tatsächlich Geräte wie Ampelschaltungne und Wasserversorgung and das Internet gekoppelt - frei nach dem Motto, aus der Ferne ist die Steuerung einfacher
    Leider sind diese Systeme kaum oder gar nicht geschützt. Dazu gab es auch eine TED talk.
    Es ist erstaunlich wie viele Dummheiten in dieser Hinsicht begangen werden.
    Mit dem Thema IT Sicherheit kennen sich die wenigsten aus - und wenn man etwa seitlich schützen will dann ist eine Trennung der Netze ein muss. Alles was mit dem Internet verbunden ist kann gehackt werden - die Frage ist bloß kit welchem Aufwand. Auch wine Trennung set Netze ist keine Garantie aber ein riesiger Schritt und die richtige Richtung.

    • Mika B
    • 22. Februar 2013 12:23 Uhr

    Wird die Bundesregierung dann demnächtstauch Israel oder die USA Verklagen wenn ein neuer Stuxnet "irrtümlich" auch hier Schaden bei der meldepflichtigen Industrie Verursacht? Sicher nicht.
    Es gibt keine sichere "IT Infrastruktur" wie es auch kein sicheres Türschloss gibt, dies sollte wohl langsam den letzten Innenminister klar werden.
    Der aber mit Regierungs und EU Hilfe eingeschlagene Weg von "Smart Grid", "Cloud Sytem Einsatz" ect. weist in eine andere Richtung
    Man kann das Risiko nur Minimieren indem man kritische Infrastruktur vom Internet weitgehend Autark betreibt und auch nicht mit "allerwelts Consumer" Bertriebssystemen oder Hardware welche dafür nicht geeignet ist, dafür dann lieber Millionen für zweifelhafte Anti-Viren-Software-Hersteller ausgeben.
    Wer Sicherheit will wird seine Armee sicher auch nicht mit einem "VW-Golf" von der "Stange" statt eines Humvee in den Einsatz ziehen lassen.
    Beeser wäre es wohl eigene spezielle Betriebssysteme und Hardware zu Entwickeln zu lassen für die Sicherheitskritische Infrastruktur des Landes.
    Nur würde dieses Kosten Verursachen, also setzt man Politiker Typisch wieder auf ein Plazebo Meldepflicht um hinterher einen Gegner beschuldigen zu können, aber ihn kaum Haftbar machen zu können.

  5. Hier geht es aber nicht um Spam oder rechtfreien Raum - den gibt es im Internet sowieso nicht.

    Hier geht es um die Meldepflicht von Angriffen auf "kritischen Infrastrukturen" z.B. Wasser/Strom/Verkehr/Kommunikation.

  6. Wenn Sicherheit, dann für alle. Staatliche Einrichtungen sollten den Zweck erfüllen, den Schwachen zu helfen: Das sind die normalen Bürger. Von großen Firmen, die ich zu den Starken zähle, erwarte ich soviel Professionalität, dass sie sich selbst helfen und beurteile sie dann eher nach dem Maßstab von Nr.1. Die Antwort ist bekannt, aber die Frage ist ungewiß...;-)

Bitte melden Sie sich an, um zu kommentieren

  • Schlagworte Cyberwar | Stuxnet | Hans-Peter Friedrich | Internetkriminalität
Service