Neelie Kroes, die EU-Kommissarin für die Digitale Agenda, wird Medienberichten zufolge sehr bald einen neuen Richtlinienentwurf vorlegen. Dieser sieht vor, dass Unternehmen Hacker-Angriffe und den Verlust von Kundendaten melden müssen. Die genauen Details der Richtlinie und vor allem die Frage, wie sie national durchgesetzt werden kann, sind noch unklar. Grund genug für Spekulationen sowie zum vorbeugenden Aufbegehren der Industrie.
Hackerangriffe sind kein Betriebsgeheimnis
Neelie Kroes hat sich für ihre Amtszeit die Themen Cybersicherheit und Cloud-Computing auf die Fahne geschrieben. Im September letzten Jahres hat die EU-Kommission ihre „European Cloud Computing Strategy“ vorgestellt, die den Cloud-Computing Einsatz in der Wirtschaft verbessern will. Vor diesem Hintergrund ist jüngst die European Cloud Partnership ins Leben gerufen worden, ein Ausschuss, der Industrie und Politik zusammen bringen soll. Neben der Vereinheitlichung von Standards und dem Ausbau der Infrastruktur geht es dabei immer auch um den Aspekt der Datensicherheit. Firmen sollen ihre Sicherheitsstandards verbessern, Kunden und ihre Daten besser geschützt werden.
Mit seiner Forderung nach einer Meldepflicht für Hackerangriffe war Bundesinnenminister Hans-Peter Friedrich im August in die Schlagzeilen geraten. Nicht nur die Industrie, sondern auch das Wirtschaftsministerium rümpfte die Nase. Man möchte doch bitteschön keine politisch-rechtlichen Alleingänge. Nun stehen ähnliche Pläne auf europäischer Ebene an. EU-Kommissarin Kroes hat sich mittlerweile gegen Selbstregulierung und für gesetzliche Regelung auf dem Feld der Cybersicherheit ausgesprochen. Unternehmen sollen den Plänen zufolge unter der Androhung von Strafzahlungen Hackerangriffe melden.
Ausmaß der Attacken enorm
Deutsche Unternehmen sind tagtäglich einer massiven Zahl solcher Angriffe ausgesetzt. Laut Erhebungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Branchenverbandes Bitkom sind von Mai bis Juni 2012 Daten von 370.000 Nutzern gehackt worden. Außerdem wurden über 100.000 Zugangsdaten entwendet und fast 49.000 E-Mail-Konten geknackt.
Reinhard Clemens, der Chef von T-Systems spricht von einer massiven Zunahme der Angriffe. Während es vor einigen Jahren 10.000 pro Tag waren, seien es nun zehn Mal so viele. Die häufigsten sind gegenwärtig „Drive-by Exploits“, die Browserschwachstellen ausnutzen und ohne weiteres Zutun Schädlinge auf dem Rechner platzieren können. Aber auch Botnets oder Phishing-Attacken erfreuen sich offenbar großer Beliebtheit.
Jeder will mehr Sicherheit, die Frage ist wie
Niemand hat etwas gegen Sicherheit. Privatpersonen, die Ihre Daten in allerlei Unternehmensdatenbanken einspeisen, sind, ebenso wie die meisten Firmen, an der Sicherheit dieser Daten interessiert. Wie der Fall Sony gezeigt hat, geht es Unternehmen aber manchmal mehr um das gute Image als um Offenheit – der Konzern hatte erst viel zu spät einen Hack von Kundendaten eingeräumt. Offiziell lauteten die Vorbehalte der Industrie gegen eine gesetzlich verbindliche Regelung natürlich anders: Dieter Kempf, Präsident des Bitkom war bislang der Ansicht, dass Verbindlichkeit die bereits angelaufenen freiwilligen und anonymen Bemühungen zunichtemachen würde.
Seiner Meinung nach sollen vor allem Telekommunikationsanbieter nicht plötzlich diejenigen sein, die Mittel zur Erkennung und Beseitigung von Malware bereitstellen. Wenig überraschend hat sich die Telekom bereits zuversichtlich über ihre Pläne geäußert, eine spezielle IT-Sicherheitsgruppe zu schaffen, der sich auch andere Unternehmen anschließen können. Und nicht zuletzt gibt es natürlich immer das Kostenargument: wer soll die ganze Sicherheit am Ende bezahlen. Die Industrie fordert mindestens, eine Anzeigepflicht nur auf solche Angriffe zu beschränken, bei denen die Verbraucher unbedingt informiert werden müssen.
Es ist also noch ein langer Weg, bis die anstrebten Maßnahmen Realität werden. Gegenwärtig ist man noch im Anfangsstadium; und ob und wie der Entwurf am Ende in EU-Recht überführt wird, ist noch nicht so recht abzusehen. Im internationalen Feld bestreitet die EU hier nämlich neue Wege. Mal schauen, ob und wie die EU-Länder mitziehen.
Deutschland schon auf gutem Wege
In Deutschland sind wir immerhin schon vergleichsweise weit vorn dabei. Seit 2009 sieht das Bundesdatenschutzgesetz bereits Informationspflichten für Datenpannen vor. Ähnlich in Spanien und Österreich. In anderen Ländern wie England und Italien vertraut man hingegen noch auf Freiwilligkeit.
Ich bin gespannt, wie sich die Diskussion entwickeln wird und hoffe auf schnelle Einigung. Ob mit Mail-Konten, Social Networks oder Online-Shopping – jeder Internetnutzer ist ja irgendwie betroffen. Und bessere Standards sollten selbstverständlich auch im Interesse von Unternehmen liegen. Mit einer entsprechenden EU-Regelung wäre Sony mit Blick auf seine Nutzerdaten aus Europa gezwungen gewesen, zielgerichteter zu reagieren – und hätte sich ganz nebenbei am Ende vielleicht nicht ganz so arg das eigene Image ruiniert.
Bilder: Digital Agenda for Europe, Sebastian tor Burg (CC BY-SA 2.0)
