EU-Kommission legt Cybersicherheitsstrategie vor

Die EU-Kommission hat wie erwartet eine Cybersicherheitsstrategie für einen „offenen, sicheren und geschützen Cyberraum“ sowie einen Vorschlag für eine Richtlinie zur Netz- und Informationssicherheit (NIS) veröffentlicht. Darin legt sie dar, wie Cyberstörungen und -angriffe am besten verhindert und bewältigt werden können. Ziel sei es, die europäischen Werte der Freiheit und Demokratie zu fördern und dafür zu sorgen, dass die digitale Wirtschaft auf sicherer Grundlage weiterwachsen kann.

Vorgesehen sind konkrete Maßnahmen zur Erhöhung der Widerstandsfähigkeit der Informationssysteme im Cyberraum, zur Eindämmung der Cyberkriminalität und zur Stärkung der internationalen Cybersicherheitspolitik und Cyberverteidigung der EU. Jedes Land soll beispielsweise ein nationales Zentrum für Cybersicherheit aufbauen und mit anderen Mitgliedsstaaten kooperieren. Generell will die EU den Informationsaustausch stärken und gemeinsame Abwehrmaßnahmen koordinieren. Das dafür zuständige European Cybercrime Centre in Den Haag hatte erst Anfang Januar offiziell seine Arbeit aufgenommen.

Die vorgeschlagene NIS-Richtlinie ist der Kommission zufolge ein wichtiger Teil der Gesamtstrategie. Sie sieht für alle Mitgliedstaaten, aber auch für die Betreiber zentraler Internetdienste und kritischer Infrastrukturen sowie für die Betreiber von Energie-, Verkehrs-, Bank- und Gesundheitsdiensten eine Meldeplficht vor. Zu den Internetdiensten zählt die Kommission Cloud-Provider, soziale Netze, E-Commerce-Plattformen, App Stores und Suchmaschinen. Öffentliche Verwaltungen und Unternehmen sollen Risikomanagementmethoden einführen und den nationalen Behörden große Sicherheitsvorfälle in ihren Kerndiensten melden.

„Die Strategie betont unsere konkreten Maßnahmen zur drastischen Eindämmung der Cyberkriminalität. In vielen EU-Ländern fehlt das notwendige Instrumentarium, um organisierte Cyberkriminalität verfolgen und bekämpfen zu können“, sagte Cecilia Malmström, EU-Kommissarin für Inneres. „Alle Mitgliedstaaten sollten daher nationale Stellen einrichten, die wirksam gegen Cyberstraftaten vorgehen. Diese können vom Sachverstand und der Unterstützung des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) profitieren.“

In Deutschland ist bereits jetzt auf höchster Regierungsebene ein Streit über die Meldepflicht ausgebrochen. Hierzulande gibt es schon seit 2011 ein nationales Cyber-Abwehrzentrum. Bundesinnenminister Hans-Peter Friedrich (CSU) hat zudem bereits vor einiger Zeit einen Gesetzentwurf für eine Meldepflicht für Firmen vorgelegt. Darüber hinaus will er Unternehmen verpflichten, Sicherheitssysteme aufzubauen, die dann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgenommen werden. Das Bundeswirtschaftsministerium will nach Informationen der Nachrichtenagentur Reuters die geplante Meldepflicht aber verhindern. Dort fürchte man erhebliche Belastungen für die deutsche Wirtschaft. Zudem sehe man in dem FDP-geführten Ministerium in vielen Branchen, die von dem Gesetz betroffen wären, keinen Handlungsbedarf, etwa im Energiesektor oder der IT-Branche.

Auch der Hightech-Verband Bitkom lehnt weitere Meldepflichten für Internetunternehmen ab, auch wenn er die neue EU-Strategie im Grundsatz begrüßt. „Gesetzliche Meldepflichten für größere IT-Sicherheitsvorfälle sollten sich auf die Betreiber kritischer Infrastrukturen beschränken“, sagte Bitkom-Präsident Dieter Kempf. In Deutschland sei das bereits für Telekommunikationsnetze gesetzlich geregelt. „Eine Ausweitung der Meldepflichten auf andere Internetunternehmen ist nicht verhältnismäßig. Eine vorübergehende Unterbrechung bestimmter Online-Dienste ist nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen.“

Statt für eine allgemeine Meldepflicht spricht sich der Bitkom für freiwillige Meldungen von Unternehmen aus, die auf Wunsch auch anonym abgegeben werden können. Ein entsprechendes Meldesystem für Sicherheitsvorfälle habe die ITK-Branche in Deutschland in Zusammenarbeit mit dem BSI bereits etabliert und sei damit international Vorreiter.

Viele Sicherheitsexperten fodern jedoch schon seit Jahren eine Meldepflicht, auch wenn Firmen oft um ihre Betriebsgeheimnisse, vertrauliche Daten und nicht zuletzt ihr Image fürchten.

[mit Material von Sibylle Gaßner, silicon.de]