Der IT-Branchenverband Bitkom weist hingegen Forderungen aus der Politik nach einer Firmenhaftung zurück. "Der Fensterbauer haftet auch nicht, wenn in eine Wohnung eingebrochen wird oder der Hersteller von Fahrradschlössern für den Diebstahl von Fahrrädern", sagte Bitkom-Geschäftsleiterin Sicherheit und Datenschutz, Susanne Dehmel, am Mittwoch der Nachrichtenagentur Reuters.

Dass Höttges neue gesetzliche Maßnahmen fordert, ist mehr als Krisen-PR. Schon sein Vorgänger René Obermann war Vorreiter beim Thema verpflichtende IT-Sicherheit. Während andere Unternehmen den Verwaltungsaufwand einer behördlichen Meldepflicht für IT-Angriffe scheuten, war der damalige Telekom-Chef ausgeschert und hatte einen Alleingang angekündigt.

140 Firmen ignorieren das IT-Sicherheitsgesetz offenbar

Der war letztlich nicht nötig: Im Juni 2015 wurde das IT-Sicherheitsgesetz verabschiedet, das Betreiber kritischer Infrastrukturen zur engen Zusammenarbeit mit dem BSI zwingt. Allerdings beteiligen sich nach Recherchen des Bayerischen Rundfunks bisher nur 310 von insgesamt 450 Betreibern kritischer Anlagen an dem Informationsaustausch.

Sollte die Telekom auch dann noch bei ihren Forderungen bleiben, wenn der Router-Vorfall wieder aus den Schlagzeilen gerutscht ist, hätte das ein gewisses Gewicht. So baut die Bundesregierung bei ihren IT-Politik-Initiativen verstärkt auf die Zusammenarbeit mit der Wirtschaft. Für eine Art Freiwillige Feuerwehr für IT-Notfälle will sich das Innenministerium beispielsweise Experten von Unternehmen ausleihen. Für die Telekom selbst wäre eine gesetzliche Update-Pflicht keine Neubelastung: Sie hat ihre Lieferanten bereits vor Jahren dazu verpflichtet. Nur so war die schnelle Reaktion auf die aktuellen Angriffe möglich.

Zwar behauptet der Bonner Konzern, alles richtig gemacht zu haben. Die Angriffsmethode sei neu und erst seit Anfang November bekannt geworden. Aber Linus Neumann vom CCC kritisiert, dass die für den Angriff verwendete Fernwartungsschnittstelle für jeden Rechner im Internet prinzipiell erreichbar war: "Darauf wurde die Telekom schon 2014 von ihren eigenen Kunden aufmerksam gemacht." Hätte sie den Fernwartungsport damals schon so gesichert, wie es nun nachgeholt wurde, wäre die Attacke an den Nutzern und somit auch an der deutschen Politik weitgehend spurlos vorbeigegangen.