1. Politik
  2. Deutschland

IT-Sicherheitsgesetz: Regierung plant Meldepflicht für Hackerangriffe

Referentenentwurf für IT-Sicherheitsgesetz : Meldepflicht für Hackerangriffe geplant

Bundesinnenminister Thomas de Maizière (CDU) hat seinen Referentenentwurf für ein IT-Sicherheitsgesetz vorgestellt. Sicherheitsrelevante Unternehmen müssen künftig angeben, wenn sie Opfer von Cyberkriminalität wurden.

Bei einer Konferenz in London schilderte Hans Winters, Leiter der internen Revision von Siemens, jüngst seinem Publikum, wie er die Führungskräfte des Konzerns von der Dringlichkeit des Themas Internetsicherheit überzeugte: Er brachte vom Unternehmen beschäftigte Hacker mit in eine Sitzung. Die IT-Fachleute drangen vor den Augen der Manager in nur wenigen Augenblicken in deren E-Mail-Accounts ein. So etwas macht Eindruck.

Auch in der Politik — so scheint es. Denn Bundesinnenminister Thomas de Maizière (CDU) stellte am Dienstag den Referentenentwurf eines IT-Sicherheitsgesetzes vor. Wichtigster Bestandteil: Hackerangriffe auf sicherheitsrelevante Einrichtungen sollen meldepflichtig werden.

Doch wer steckt hinter den Cyber-Attacken, die Politik und vor allem Wirtschaft in Atem halten? Eindrucksvoll schilderte dies jüngst Michael Sorge, Leiter der Sicherheitsabteilung bei Bayer, während einer Anti-Fraud-Tagung. Demnach unterscheidet der Sicherheitsfachmann drei Quellen: Cybercrime, Hacktivism und Nachrichtendienste. Bei der ersten Gruppe handelt es sich Sorges Präsentation zufolge um organisierte Kriminelle, die vor allem verdienen wollen — mit erbeuteten Kunden- oder Mitarbeiterdaten, digitaler Erpressung oder am Verkauf sensibler Konzerndaten.

Zuständigkeiten des BKA sollen ausgeweitet werden

Anders die Gruppe der Hacktivists, die mit selbst geschriebenen Programmen versuchen, die Reputation von Unternehmen zu schädigen: Sorge schilderte einen Fall, bei dem die Gruppe Anonymous zum Großangriff auf die Bayer-Server blies. Mit dem Verweis darauf, dass der Konzern angeblich mit Pflanzenschutzmitteln für das Bienensterben verantwortlich und aus Rohstoffinteressen an Bürgerkriegen in Afrika involviert sei, rief die Gruppe zum Angriff auf. Die Nutzer konnten vorher noch über das Ziel abstimmen — neben Bayer der japanische Energiekonzern Tepco, der Ölkonzern BP und der Chemieriese Dow Chemical. Die Wahl fiel auf Bayer, wenig später waren die Konzern-Websites in Südafrika, Spanien, den Niederlanden, Italien, Schweden und Portugal nicht mehr zu erreichen. Die Hacker, um möglichst große Aufmerksamkeit buhlend, brüsteten sich im Netz mit dem Angriff.

Der dritten Gruppe, den Geheimdiensten, habe ein Unternehmen "mit vertretbarem Aufwand" nichts entgegenzusetzen, so Sorge. Eine Meldepflicht, wie sie de Maizières IT-Sicherheitsgesetz enthält, lehnte der IT-Fachmann damals ab.

Wie de Maizière am Dienstag im ZDF erläuterte, treffen die Meldepflichten die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Zudem soll das Bundesamt für Sicherheit in der Informationstechnik gestärkt werden und mehr Stellen erhalten. Dem Entwurf zufolge werden ferner die Zuständigkeiten des Bundeskriminalamtes bei Cyberdelikten ausgeweitet. Auch für diese Einrichtung und für das Bundesamt für Verfassungsschutz ist eine Aufstockung des Personals vorgesehen.

Digitale Agenda wird am Mittwoch vorgestellt

Das IT-Sicherheitsgesetz ist Bestandteil der digitalen Agenda der Bundesregierung. Thomas de Maizière wird sie am heutigen Mittwoch mit seinen beiden Kollegen, Wirtschaftsminister Sigmar Gabriel (SPD) und Internetminister Alexander Dobrindt (CSU), im Kabinett vorstellen. Nach ihrer Verabschiedung soll die Agenda bis 2017 abgearbeitet werden, jeweils in konkreten Ausgestaltungen wie dem IT-Sicherheitsgesetz.

Netzpolitiker aus Union und SPD halten weite Teile des Konzepts für gelungen. Auch Lars Klingbeil, Mitglied des SPD-Fraktionsvorstandes im Bundestag und Sprecher der Arbeitsgruppe digitale Agenda, teilt diese Ansicht. Aber gleichzeitig hält er etwa Dobrindts Finanzpläne zum Breitbandausbau für fragwürdig, die der Minister mit einer Versteigerung von Funkfrequenzen verknüpft.

Schnelles Internet soll demnach via Funk bis 2018 auch abseits größerer Städte verfügbar sein. "Ich bin noch sehr skeptisch, was die Finanzierung des Netzausbaus in ländlichen Gebieten anbelangt", so Klingbeil. Nur über die Erlöse der geplanten Frequenzversteigerungen werde das wohl kaum möglich sein. "Da wird Bundesminister Dobrindt voraussichtlich zusätzliche staatliche Mittel brauchen", meint Klingbeil. Im Bundesverkehrsministerium will man davon bisher nicht sprechen.

Hier geht es zur Infostrecke: Die kritischsten Sicherheitslücken

(jd)