Cassidian, der Sicherheitsableger des europäischen Rüstungskonzerns EADS, hat eine neue Tochter. Die Cassidian Cybersecurity GmbH wurde 2012 in Deutschland gegründet und will sich auf die Abwehr von Advanced Persistence Threats spezialisieren, also von Spionage- und Sabotageangriffen mittels aufwendiger Schadsoftware, wie sie fast nur Regierungen programmieren lassen können. Man sehe definitiv den Bedarf, sagte ein Mitarbeiter am Rande des Polizeikongresses in Berlin in dieser Woche. Auch aus dem Bereich der "kritischen Infrastrukturen" habe man schon Kunden gewonnen.

Es ist einer der schlimmsten Albträume deutscher Sicherheitspolitiker: Ein gelungener Angriff auf die Strom-, oder Wasserversorgung mittels Schadsoftware. Wie wahrscheinlich ein solcher Angriff tatsächlich ist, wird sehr unterschiedlich bewertet. Ausschließen will ihn allerdings niemand, seit 2010 Stuxnet aufgetaucht ist, die erste bekannte Malware, die sich auch gegen eine physische Struktur wandte: Sie konnte auf die Steuerung von Siemens-Industrieanlagen zugreifen.

Bundesinnenminister Hans-Peter Friedrich (CSU) hat deshalb angekündigt, per Gesetz eine Meldepflicht für IT-Angriffe auf kritische Infrastrukturen einzuführen. "IT-Ausfälle stellen eine reale Gefahr da", heißt es in dem Gesetzentwurf, der dem Tagesspiegel vorliegt. Man müsse den "Schutz der gestiegenen Bedrohungslage" anpassen.

Bislang sei das Niveau der IT-Sicherheit in den Unternehmen noch sehr unterschiedlich. Friedrich schlägt deshalb vor, dass "erhebliche" Vorfälle jährlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden sollen. Der Gesetzentwurf würde die Kompetenzen in Sachen Cyberabwehr noch stärker auf der Bundesebene bündeln. Das BSI wird bereits seit mehreren Jahren ausgebaut, zuletzt übernahm es die Federführung im "Cyberabwehrzentrum", einem Koordinationskreis öffentlicher Stellen für Cybersicherheit. Durch das "IT-Sicherheitsgesetz" würde das BSI weitere 122 Stellen bekommen. Auch die Zuständigkeit des Bundeskriminalamts für Computerdelikte würden ausgeweitet.

Unternehmen setzen auf Freiwilligkeit

Eine Meldepflicht für versuchte IT-Angriffe besteht bislang nicht, obwohl das Internet zunehmend zu einer Querschnittstechnologie wird, deren Ausfall alle Branchen betreffen würde, wie auch der Chef des Verbands der deutschen Internetwirtschaft (Eco), Michael Rotert einräumt. Zwar arbeitet das BSI bereits heute mit den Betreibern kritischer Infrastrukturen zusammen. 2011 wurde bei einer Ernstfallübung erstmals ein Szenario geprobt, bei dem größere Teile der IT-Infrastruktur ausfielen. Zudem gibt es in der IT-Branche einen starken informellen Austausch. Zwischen den verschiedenen Industriezweigen aber ist die Kommunikation noch begrenzt. Dennoch setzen Eco und der Bund der Deutschen Industrie auf Freiwilligkeit. Sie fürchten den bürokratischen Aufwand.

Auch die FDP, namentlich Bundeswirtschaftsminister Philipp Rösler, lehnt den Vorschlag ab. Jimmy Schulz, netzpolitischer Sprecher der Liberalen, wandte ein, die Aufstockung des BSI um 120 Mitarbeiter sei ohnehin problematisch – weil der Markt eine so große Zahl an Experten gar nicht hergebe, die bereit sind, sich nach den Tariflöhnen im öffentlichen Dienst bezahlen zu lassen.

Doch selbst, wenn es Friedrichs Vorschlag nicht schafft, müssen sich die Verbände möglicherweise auf eine Meldepflicht einstellen. Am 7. Februar haben die EU-Kommissarinnen Neelie Kroes und Cecilia Malmström eine EU-weite Meldepflicht vorgeschlagen. Ein Blick in den Sicherheitsbericht des Anti-Viren-Software-Herstellers Symantek offenbart allerdings: Am gefährdetsten ist weltweit der öffentliche Sektor selbst. 25 Prozent der registrierten Email-Angriffe richten sich gegen Regierungen und Behörden.  

Erschienen im Tagesspiegel