EU sagt Cyberkriminalität den Kampf an – Entwurf fast fertig

Digital Agenda for Europe Internetseite

Neelie Kroes, die EU-Kommissarin für die Digitale Agenda, wird Medienberichten zufolge sehr bald einen neuen Richtlinienentwurf vorlegen. Dieser sieht vor, dass Unternehmen Hacker-Angriffe und den Verlust von Kundendaten melden müssen. Die genauen Details der Richtlinie und vor allem die Frage, wie sie national durchgesetzt werden kann, sind noch unklar. Grund genug für Spekulationen sowie zum vorbeugenden Aufbegehren der Industrie.

Anzeige

Hackerangriffe sind kein Betriebsgeheimnis

Neelie Kroes hat sich für ihre Amtszeit die Themen Cybersicherheit und Cloud-Computing auf die Fahne geschrieben. Im September letzten Jahres hat die EU-Kommission ihre „European Cloud Computing Strategy“ vorgestellt, die den Cloud-Computing Einsatz in der Wirtschaft verbessern will. Vor diesem Hintergrund ist jüngst die European Cloud Partnership ins Leben gerufen worden, ein Ausschuss, der Industrie und Politik zusammen bringen soll. Neben der Vereinheitlichung von Standards und dem Ausbau der Infrastruktur geht es dabei immer auch um den Aspekt der Datensicherheit. Firmen sollen ihre Sicherheitsstandards verbessern, Kunden und ihre Daten besser geschützt werden.

Neelie Kroes

Mit seiner Forderung nach einer Meldepflicht für Hackerangriffe war Bundesinnenminister Hans-Peter Friedrich im August in die Schlagzeilen geraten. Nicht nur die Industrie, sondern auch das Wirtschaftsministerium rümpfte die Nase. Man möchte doch bitteschön keine politisch-rechtlichen Alleingänge. Nun stehen ähnliche Pläne auf europäischer Ebene an. EU-Kommissarin Kroes hat sich mittlerweile gegen Selbstregulierung und für gesetzliche Regelung auf dem Feld der Cybersicherheit ausgesprochen. Unternehmen sollen den Plänen zufolge unter der Androhung von Strafzahlungen Hackerangriffe melden.

Ausmaß der Attacken enorm

Deutsche Unternehmen sind tagtäglich einer massiven Zahl solcher Angriffe ausgesetzt. Laut Erhebungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes Bitkom sind von Mai bis Juni 2012 Daten von 370.000 Nutzern gehackt worden. Außerdem wurden über 100.000 Zugangsdaten entwendet und fast 49.000 E-Mail-Konten geknackt.

Reinhard Clemens, der Chef von T-Systems spricht von einer massiven Zunahme der Angriffe. Während es vor einigen Jahren 10.000 pro Tag waren, seien es nun zehn Mal so viele. Die häufigsten sind gegenwärtig „Drive-by Exploits“, die Browserschwachstellen ausnutzen und ohne weiteres Zutun Schädlinge auf dem Rechner platzieren können. Aber auch Botnets oder Phishing-Attacken erfreuen sich offenbar großer Beliebtheit.

Jeder will mehr Sicherheit, die Frage ist wie

Niemand hat etwas gegen Sicherheit. Privatpersonen, die Ihre Daten in allerlei Unternehmensdatenbanken einspeisen, sind, ebenso wie die meisten Firmen, an der Sicherheit dieser Daten interessiert. Wie der Fall Sony gezeigt hat, geht es Unternehmen aber manchmal mehr um das gute Image als um Offenheit – der Konzern hatte erst viel zu spät einen Hack von Kundendaten eingeräumt. Offiziell lauteten die Vorbehalte der Industrie gegen eine gesetzlich verbindliche Regelung natürlich anders: Dieter Kempf, Präsident des Bitkom war bislang der Ansicht, dass Verbindlichkeit die bereits angelaufenen freiwilligen und anonymen Bemühungen zunichtemachen würde.

Seiner Meinung nach sollen vor allem Telekommunikationsanbieter nicht plötzlich diejenigen sein, die Mittel zur Erkennung und Beseitigung von Malware bereitstellen. Wenig überraschend hat sich die Telekom bereits zuversichtlich über ihre Pläne geäußert, eine spezielle IT-Sicherheitsgruppe zu schaffen, der sich auch andere Unternehmen anschließen können. Und nicht zuletzt gibt es natürlich immer das Kostenargument: wer soll die ganze Sicherheit am Ende bezahlen. Die Industrie fordert mindestens, eine Anzeigepflicht nur auf solche Angriffe zu beschränken, bei denen die Verbraucher unbedingt informiert werden müssen.

Es ist also noch ein langer Weg, bis die anstrebten Maßnahmen Realität werden. Gegenwärtig ist man noch im Anfangsstadium; und ob und wie der Entwurf am Ende in EU-Recht überführt wird, ist noch nicht so recht abzusehen. Im internationalen Feld bestreitet die EU hier nämlich neue Wege. Mal schauen, ob und wie die EU-Länder mitziehen.

Deutschland schon auf gutem Wege

In Deutschland sind wir immerhin schon vergleichsweise weit vorn dabei. Seit 2009 sieht das Bundesdatenschutzgesetz bereits Informationspflichten für Datenpannen vor. Ähnlich in Spanien und Österreich. In anderen Ländern wie England und Italien vertraut man hingegen noch auf Freiwilligkeit.

Ich bin gespannt, wie sich die Diskussion entwickeln wird und hoffe auf schnelle Einigung. Ob mit Mail-Konten, Social Networks oder Online-Shopping – jeder Internetnutzer ist ja irgendwie betroffen. Und bessere Standards sollten selbstverständlich auch im Interesse von Unternehmen liegen. Mit einer entsprechenden EU-Regelung wäre Sony mit Blick auf seine Nutzerdaten aus Europa gezwungen gewesen, zielgerichteter zu reagieren – und hätte sich ganz nebenbei am Ende vielleicht nicht ganz so arg das eigene Image ruiniert.

Bilder: Digital Agenda for Europe, Sebastian tor Burg (CC BY-SA 2.0)

Abgelegt unter:

4 Kommentare

  1. Mika B.

    Wie will den die EU diese “Meldepflicht für Hackerangriffe” denn Überwachen und vor allem was geschied mit den Meldungen?
    Vor allem bei Hintergründen das sogar staatliche Dienste selbst daran beteiligt sein können wie Bundestrojaner oder Stuxnet zeigen.

  2. Hans-Peter

    Naja spätestens wenn bekannt wird, dass Daten gestohlen worden sind.
    Und je nach Sachverhalt kann man dann eine ordentliche Strafe obendrauf setzen.
    Ich finde den Ansatz sehr gut, denn noch ist keine Firma verpflichtet, dir mitzuteilen, dass alle deine Daten, Konten, Passwörter, etc. gestohlen worden sind und du wunderst dich über einen gehackten Mailaccount oder eine “Fehlüberweisung”.

  3. Mika B.

    Vermutlich würde die Meldepflicht und Strafen genau das Gegenteil vom gewollten Bewirken.
    Das Firmen aus Angst gar nichts mehr Melden oder Zugeben oder ihne Datencenter gleich in andere Länder ohne Meldepflicht Auslagern.
    Datendiebstahl ist nicht mit Sanktionen oder Strafandrohung für den Betroffenen zu Verhindern.

  4. Jallen K.

    Hallo,
    Danke für den Beitrag,
    Auf eine seite finde ich es gut mit der Meldepflicht, aber wie schon diskutiert wurde wird es nicht funktionieren, wegen viele Firmen geheimnisse ..u.s.w
    meine meinung nach sollte man es versuchen von grund aus zu lösen indem man weltweit zusammen arbeitet und die strafen für hacker angriffe sherr hoch setzt als es ist, aber da müssen natürlich alle zusammen halten, das ist meine meinung die knackt punkt, da wird meine meinung nach scheitern.
    mal abwarten und Tee Trinken.

Dein Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Bitte beachte unsere Kommentar-Richtlinien.