Zur Navigation Zum Artikel

Wenn Sie sich diesen Artikel vorlesen lassen wollen benutzen Sie den Accesskey + v, zum beenden können Sie den Accesskey + z benutzen.

20. August 2014

Minister sagt Hackern den Kampf an

De Maizière legt Sicherheitsgesetz vor, um wichtige Einrichtungen im Land besser vor Cyber-Attacken zu schützen.

BERLIN. Innenminister Thomas de Maizière (CDU) will einen Schutzwall vor Hackangriffen auf wichtige Einrichtungen schaffen. Mit einem Gesetz, das der Minister am heutigen Mittwoch vorstellt, sollen die deutschen IT-Systeme zu den weltweit sichersten werden.

Das Szenario, das das Büro für Technikfolgenabschätzung des Bundestages schon im Frühjahr 2011 entworfen hat, ist ziemlich erschreckend. Komme es, so das Büro, zum Beispiel zu einem langandauernden und großflächigen Stromausfall, wäre der Kollaps der gesamten Gesellschaft kaum zu verhindern. Von "weitreichenden, schlimmstenfalls dramatischen Folgen" mangelnden Schutzes vor Cyber-Attacken spricht auch de Maizière. Um diese zu vermeiden, will er in einzelnen Wirtschaftsbranchen, die für das Funktionieren der Republik besonders wichtig sind, Sicherheitsstandards setzen. Dazu zählen die Energieversorgung, Transport und Verkehr, Telekommunikation, das Gesundheitswesen sowie die Landwirtschaft und das Bankgewerbe. Es reiche nicht aus, wenn dort auf freiwilliger Basis Sicherheit angestrebt werde. So wie der Staat Autofahrern die Gurtpflicht auferlegt habe, "brauchen wir heute Sicherheitsgurte für die IT der kritischen Infrastrukturen".

Werbung


Wer eine solche Infrastruktur betreibt, soll der zuständigen Behörde künftig Hacker-Angriffe melden müssen, die auf sein Unternehmen oder seine Einrichtung gerichtet wurden. Diese seit langem diskutierte Meldepflicht war der Wirtschaft keineswegs recht. Sie fürchtet, dass Meldungen öffentlich bekannt werden und somit dem Ansehen des betroffenen Unternehmens schaden könnten. Der Minister ist deshalb bereit, anonyme Meldungen zu akzeptieren – allerdings nur, "solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist."

Was das im Detail genau heißt, ist derzeit offen. Eine Verordnung soll klären, welche Firmen und Einrichtungen in die Kategorie "kritische Infrastruktur" fallen – ob also bei einer Cyberattacke auf Energienetze nur die großen Versorgungskonzerne oder auch das kleine Wasserwerk Bericht erstatten müssen.

Wichtig ist für Minister de Maizière, dass Staat und Firmen ein Lagebild entwickeln: also eine laufend aktualisierte Analyse, die zum Beispiel erhebt, wie Angriffe technisch ablaufen, woher sie kommen und welche Schutzmaßnahmen sinnvoll sind.

Dass der Minister staatliche Einrichtungen von den Auflagen des IT-Sicherheitsgesetzes weitgehend ausnimmt, hält der Verband Bitkom für verfehlt. Der Staat sei der größte Betreiber kritischer Infrastrukturen. Deshalb müssten die Meldepflichten und die Auflagen für Standards zum Schutz vor Hacker-Angriffen auch für die öffentliche Hand gelten, sagt Marc Bachmann, der Bitkom-Bereichsleiter für öffentliche Sicherheit. Natürlich könne der Bund den Ländern keine Vorgaben machen, was den Schutz von wichtigen Einrichtungen auf Landesebene betreffe. Es bestehe aber eine Lücke. Denn in den Ländern gebe es in Sachen IT-Sicherheit noch viel zu tun.

Es sei legitim, dass der Staat Kenntnis über Cyber-Attacken auf Stromwerke, Telekommunikationsfirmen, Banken oder Kliniken erlangen wolle, sagt Rainer Gerling. Der IT-Sicherheitsbeauftragte der Max Planck-Gesellschaft mahnt jedoch eine faire Partnerschaft für mehr Sicherheit zwischen der öffentlichen Hand und den Unternehmen an. Wer melden müsse, müsse hinterher auch über das mit diesen Angaben erstellte Lagebild informiert werden. "Jede Firma will wissen, wo sie steht und was sie verbessern kann", sagt Gerling: "Da ist es dann wichtig zu wissen, welche Angriffstechnik gerade häufig verwendet wird und welche Hackergruppen unterwegs sind."

Cyber-Angriffe

Berichte über Cyber-Angriffe gibt es selten. Doch einige Fälle wurden bekannt. Einer der spektakulärsten ist der Computerwurm Stuxnet, der das iranische Atomprogramm sabotierte. Inzwischen wird vermutet, dass die USA und Israel dahinter steckten - doch dies wurde nie offiziell bestätigt. Angeblich wurde das Schadprogramm über einen verseuchten USB-Stick in das Forschungszentrum Natans eingeschleust. Auch die US-Börse Nasdaq soll schon Opfer eines Hacker-Angriffs geworden sein. Ende 2010 sei der Einbruch in die Nasdaq-Systeme aufgefallen. Mehrere US-Behörden ermittelten, doch sie konnten nie herausfinden, wer hinter dem Angriff steckte und welcher Schaden verursacht wurde. Die Ermittler hätten jedoch "mehrere Hinweise auf einen Geheimdienst oder Militär" gefunden. Die Sicherheitsfirma Symantec berichtete von Hackern, die Energiefirmen angegriffen hätten.  

Autor: dpa

Autor: Bernhard Walker