EU-Kommission will Meldepflicht für Cyber-Attacken

Von CLAUDIA WIESE

BRÜSSEL—Jedes Jahr entstehen Firmen, Regierungen und Privatpersonen Billionenschäden durch Hackerangriffe - doch jetzt soll Schluss sein mit Attacken aus dem Netz: Die EU-Kommission will das Internet besser vor Kriminellen schützen und widerstandsfähiger machen. Einen entsprechenden Vorschlag veröffentlichten Digitalkommissarin Neelie Kroes, ihre für Innere Sicherheit zuständige Kollegin Cecilia Malmström und EU-Chefdiplomatin Catherine Ashton am Donnerstag in Brüssel.

Bild vergrößern

Schließen

dapd

In Deutschland gibt es bereits ein nationales Cyber-Abwehrzentrum - in Bonn.

Zu der Strategie gehört eine neue Meldepflicht für Unternehmen bei schwerwiegenden Cyberattacken - unabhängig davon, ob tatsächlich Daten von ihren Servern abgezogen wurden oder nicht. Neben der Meldepflicht sollen unter anderem Energieversorger, Fluggesellschaften, Bahnbetreiber und Bahnhöfe, Krankenhäuser sowie Banken, Börsenbetreiber und Datenverarbeitungsfirmen Risikomanagementsysteme einführen. Zudem sollen die EU-Mitgliedstaaten besser miteinander kooperieren und nationale Sicherheitsstrategien entwickeln.

Nach Angaben des Weltwirtschaftsforums bestehe eine zehnprozentige Wahrscheinlichkeit, dass es im kommenden Jahrzehnt zu einem großen Ausfall kritischer Infrastrukturen kommt, der bis zu 250 Milliarden US-Dollar kosten könnte, warnt die Kommission. Bisher hatte die EU auf Freiwilligkeit gesetzt, doch dies habe zu viele Lücken offen gelassen. Nur Telekommunikationsunternehmen sind schon heute verpflichtet, solche Vorfälle zu melden. Bevor die neuen Vorschriften in Kraft treten können, müssen das Europäische Parlament und die Mitgliedstaaten noch zustimmen. Anschließend haben die Staaten 18 Monate Zeit, die Richtlinie in nationales Recht umzusetzen.

150.000 Viren täglich im Umlauf

"Die Tragweite und Häufigkeit von Cybersicherheitsvorfällen nimmt zu", warnt die Kommission. Täglich seien rund 150.000 Computerviren im Umlauf und genauso viele Rechner würden täglich neu infiziert. Dennoch haben laut der Europäischen Statistikbehörde Eurostat nur 26 Prozent der Unternehmen in der Europäischen Union förmlich festgelegte Sicherheitsvorgaben für ihre Informations- und Kommunikationstechnologie.

Das habe auch Auswirkungen auf das Verhalten der Bürger. Sie kauften weniger Waren online ein oder wickelten Bankgeschäfte nicht mehr online ab. "Das Vertrauen nimmt ab", warnt Malmström. So sei jeder zehnte EU-Bürger schon einem Internetbetrug zum Opfer gefallen. Cyberstraftaten könnten mittlerweile bestellt werden. "Mieten Sie sich einen Hacker. Das ist wie eine Art Speisekarte mit Preisen. 130 Euro kostet es, das Konto eines Facebook-Nutzers zu knacken", kommentiert die schwedische Innenkommissarin.

Die Meldepflicht soll die Unternehmen dazu anregen, bessere Sicherheitsvorkehrungen zu treffen. Denn viele Unternehmen schreckten aus Angst vor Imageschäden davor zurück, Cyberangriffe öffentlich zu machen. "Das kann zu großen finanziellen Verlusten und auch zu Unternehmenspleiten führen", warnte die Niederländerin Kroes mit Blick auf das niederländische Zertifizierungsunternehmen DigiNotar. Die Firma meldete 2011 nicht, dass Hacker sich Zugang zu Web-Sicherheitszertifikaten verschafft hatten. Aufgrund des darauf folgenden Vertrauensverlustes wurden auch die echten Zertifikate des Unternehmens nicht mehr anerkannt und die Firma ging pleite.

Die Unternehmen sollen aber nur Vorfälle melden, die sich "erheblich" auf die "Sicherheit der Kerndienste" des Unternehmens auswirken. Als Beispiel nennt die Kommission einen Stromausfall, der sich schädlich auf die Wirtschaft auswirkt, den Ausfall von Online-Buchungssystemen etwa für Hotels oder Probleme bei der Luftraumkontrolle durch einen Hackerangriff oder einen Stromausfall. Die Öffentlichkeit soll aber nur informiert werden müssen, wenn die nationale Behörde das verlangt.

Über 40.000 Unternehmen werden wohl von der Meldepflicht betroffen sein. Kleine Unternehmen sollen aber ausgenommen werden. "Welche Unternehmen von der Meldepflicht betroffen und welche Art von Angriffen zu melden sein sollen, wird im Parlament aber noch intensiv zu diskutieren sein. Stark zentralisierte Regelungen dürfen die Betriebe nicht unrealistisch belasten und in ihrer Entwicklung behindern", kündigte die CSU-Europaabgeordnete Monika Hohlmeier an.

Die Mitgliedstaaten sollen zudem Sicherheitsstrategien entwickeln und frühzeitig andere Mitgliedstaaten und die EU-Kommission vor Sicherheitsrisiken warnen sowie sich regelmäßig gegenseitig überprüfen. "In vielen EU-Ländern fehlt das notwendige Instrumentarium, um organisierte Cyberkriminalität verfolgen und bekämpfen zu können. Alle Mitgliedstaaten sollten daher nationale Stellen einrichten, die wirksam gegen Cyberstraftaten vorgehen", sagte Innenkommissarin Malmström. Außerdem sollte die Zusammenarbeit zwischen Militär und Zivilgesellschaft in diesem Bereich verbessert werden, so Ashton.

Mit Material von dapd

Kontakt zum Autor: @wsj.com