Cyber-Attacken im Internet nehmen zu. Die EU stellt deshalb heute eine neue Richtlinie vor, die sie einführen will. Danach müssen Unternehmen solche Angriffe melden. Zehntausende Firmen wären betroffen – doch sie sind alles andere als begeistert.
Stuttgart - Die Sätze geben Anlass zur Beunruhigung. Die Funktion des US-Geldsystems sei nie in Gefahr gewesen, versichert eine Sprecherin der US-Notenbank Fed. Kurz zuvor musste sie zugeben, dass die amerikanische Zentralbank Ziel eines Hackerangriffes war und die Eindringlinge kurzzeitig Zugriff auf eine interne Webseite der Federal Reserve gehabt hätten. Hinter der Attacke steckt eine Gruppe von Computeraktivisten mit dem Namen „Anonymous“, die immer wieder Regierungsseiten angreifen.
Die US-Notenbank ist nicht das einzige prominente Opfer von Hackern. In diesen Tagen meldeten der Nachrichtendienst Twitter und die drei bekanntesten US-Zeitungen – die „New York Times“, das „Wall Street Journal“ und die „Washington Post“ – Attacken aus dem Internet. In diesen Fällen vermuten die Verantwortlichen den Ursprung der Angriffe aber in China. Die Zeitungen hatten sich bei der Führung der Volksrepublik mit Berichten über das Vermögen von Familien prominenter chinesischer Politiker unbeliebt gemacht.
Hacker versuchen an das Know-how der Firmen zu gelangen
Auch in deutschen Industrieunternehmen werden immer wieder Attacken verzeichnet. Nicht selten versuchen Hacker an das Knowhow der Firmen zu kommen, um zum Beispiel deren neueste Entwicklungen auszuspionieren. Das heißt, dass deren Wettbewerbsvorteil schwindet und konkurrierende Unternehmen eigene Produkte günstiger am Markt positionieren können.
Weil die Attacken im Internet immense Ausmaße angenommen haben, will die EU-Kommission wichtige Infrastrukturnetze in der Union besser gegen Hackerangriffe schützen. Die Kommission plant, für mehrere Branchen eine Meldepflicht einzuführen. Der Bericht dazu wird am Donnerstag in Brüssel vorgestellt. Nach diesem Konzept wären neben Banken und Börsen, die Energie-, die Gesundheits- und Verkehrsbranche, aber auch Internetanbieter und die öffentliche Verwaltung betroffen. Die Kommission schätzt, dass die geplanten Auflagen europaweit für etwa 44 000 Unternehmen gelten.
Die Telekom registriert bis zu 400 000 Angriffe täglich
Allein in den vergangenen fünf Monaten habe es über 100 Attacken gegen einzelne an der Wall Street vertretene Banken gegeben, sagte der Direktor des US-Geheimdienstes NSA, General Keith Alexander, jüngst auf der Münchner Sicherheitskonferenz. Rene Obermann, Chef der deutschen Telekom, sprach davon, dass sein Unternehmen im eigenen Netz 300 000 bis 400 000 Angriffe täglich registriere.
Kommissionsvizepräsidentin Neelie Kroes (Wettbewerb), ihre Kollegin Cecilia Malmström (Inneres) und die EU-Außenbeauftragte Catherine Ashton kündigten an, die Richtlinie in den kommenden Monaten durchsetzen zu wollen. Die Selbstregulierung der Wirtschaft reiche nicht mehr aus, betonte Kroes. Das Ziel sei, Sicherheit für Kommunikations- und Informationsnetze in der ganzen Union zu gewährleisten, heißt es in dem Papier. Die EU-Staaten werden aufgefordert, eine nationale Strategie für den Kampf gegen Cyberkriminalität vorzulegen. Jede EU-Regierung muss eine zentrale Einrichtung für die Cyberabwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. Die Firmen sollen verpflichtet werden, größere Vorfälle den nationalen Behörden zu melden.
Der Gefahrenreport fasst 120 Berichte zusammen
Auf EU-Ebene sollen Informationen ausgetauscht und gemeinsame Abwehrmaßnahmen koordiniert werden. Mit den Schritten sollen Angriffe durch Hacker, Regierungen und vermutlich auch extremistische Gruppen auf öffentliche Einrichtungen und Firmen bekämpft werden. Bei der Analyse der Gefahren stützt sich Brüssel vor allem auf einen Bericht der Europäischen Agentur für Netz- und Informationssicherheit „Enisa“. Dieser sogenannte Gefahrenreport fasst insgesamt 120 aktuelle Berichte von Internet-Sicherheitsfirmen, einschlägigen Netzwerken und anderen unabhängigen Akteuren aus den Jahren 2011 und 2012 zusammen.
Aber nicht nur in Brüssel, auch in Berlin wird an der Abwehr gegen Cyberattacken gearbeitet. So hat Bundesinnenminister Hans-Peter Friedrich (CSU) einen Gesetzentwurf in die Ressortabstimmung eingebracht, der im März im Kabinett verabschiedet werden soll. Er sieht auch eine Meldepflicht für Firmen vor und will von den Betreibern wichtiger Infrastruktur einfordern, sich gegen Angriffe zu schützen. Die Notfallpläne der Unternehmen sollen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und abgenommen werden. Gegenwind bekommt er allerdings aus der eigenen Regierung. Das Bundeswirtschaftsministerium will die geplante Meldepflicht verhindern. Nach Informationen der Nachrichtenagentur Reuters erhob das Ministerium in der Ressortabstimmung zum IT-Sicherheitsgesetz gravierende Einwände. Die geplante Meldepflicht sei eine erhebliche Belastung für die deutsche Wirtschaft, hieß es im FDP-geführten Wirtschaftsministerium. Zudem gebe es keinen Nachholbedarf, vor allem nicht in der IT-Branche und im Energiesektor.
Es sind noch viele Fragen offen
Kritik kommt auch vom IT-Branchenverband Bitkom. „Ich denke nicht, dass da eine Verpflichtung nötig ist“, sagte Michael Barth, Experte für Cybersicherheit beim Bitkom. Das Bundesamt für Sicherheit in der Informationstechnik habe bereits einen guten Überblick über aktuelle Gefahren, die Unternehmen auch freiwillig meldeten. Barth verwies unter anderem auf die Allianz für Cybersicherheit von Bitkom und BSI, bei der Vorfälle auch anonym mitgeteilt werden können.
Bei einer gesetzlichen Regelung müsse zudem genau definiert werden, was als Angriff aus dem Internet oder als Sicherheitslücke anzusehen sei. „Da sind noch viele Fragen offen“, sagte Barth. Zudem sei die Sorge groß, dass eine Veröffentlichung sich für die betroffenen Unternehmen negativ auswirkt, erklärte er. Vor allem börsennotierte Unternehmen scheuen eine Meldepflicht, weil sie Verunsicherung der Investoren fürchten, wenn Hackerangriffe bekannt werden.
Manchmal geht es auch um Sabotageakte gegen ganze Staaten
Die EU-Kommission kann diese Bedenken nachvollziehen, hält sie aber für falsch. Nur über eine Meldepflicht sei es möglich, einen umfassenden Überblick über die Angriffe von Hackern zu bekommen. Schließlich gehe es in diesem Fall nicht nur um kommerziellen Datenklau, sondern auch um Sabotageakte gegen ganze Staaten. Im Jahr 2007 wurde eine Attacke ungeahnten Ausmaßes auf Estland registriert. Das Parlament, Banken, Ministerien, die Verwaltung und Rundfunksendeanstalten waren betroffen, das öffentlich Leben des gesamten Landes stand praktisch still. Diese Erfahrung war der Startschuss für viele Staaten, sich um den Schutz der eigenen Netze zu kümmern.