Minister sagt Hackern den Kampf an

Bernhard Walker

Von Bernhard Walker

Mi, 20. August 2014

Deutschland

De Maizière legt Sicherheitsgesetz vor, um wichtige Einrichtungen im Land besser vor Cyber-Attacken zu schützen.

BERLIN. Innenminister Thomas de Maizière (CDU) will einen Schutzwall vor Hackangriffen auf wichtige Einrichtungen schaffen. Mit einem Gesetz, das der Minister am heutigen Mittwoch vorstellt, sollen die deutschen IT-Systeme zu den weltweit sichersten werden.

Das Szenario, das das Büro für Technikfolgenabschätzung des Bundestages schon im Frühjahr 2011 entworfen hat, ist ziemlich erschreckend. Komme es, so das Büro, zum Beispiel zu einem langandauernden und großflächigen Stromausfall, wäre der Kollaps der gesamten Gesellschaft kaum zu verhindern. Von "weitreichenden, schlimmstenfalls dramatischen Folgen" mangelnden Schutzes vor Cyber-Attacken spricht auch de Maizière. Um diese zu vermeiden, will er in einzelnen Wirtschaftsbranchen, die für das Funktionieren der Republik besonders wichtig sind, Sicherheitsstandards setzen. Dazu zählen die Energieversorgung, Transport und Verkehr, Telekommunikation, das Gesundheitswesen sowie die Landwirtschaft und das Bankgewerbe. Es reiche nicht aus, wenn dort auf freiwilliger Basis Sicherheit angestrebt werde. So wie der Staat Autofahrern die Gurtpflicht auferlegt habe, "brauchen wir heute Sicherheitsgurte für die IT der kritischen Infrastrukturen".

Wer eine solche Infrastruktur betreibt, soll der zuständigen Behörde künftig Hacker-Angriffe melden müssen, die auf sein Unternehmen oder seine Einrichtung gerichtet wurden. Diese seit langem diskutierte Meldepflicht war der Wirtschaft keineswegs recht. Sie fürchtet, dass Meldungen öffentlich bekannt werden und somit dem Ansehen des betroffenen Unternehmens schaden könnten. Der Minister ist deshalb bereit, anonyme Meldungen zu akzeptieren – allerdings nur, "solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist."

Was das im Detail genau heißt, ist derzeit offen. Eine Verordnung soll klären, welche Firmen und Einrichtungen in die Kategorie "kritische Infrastruktur" fallen – ob also bei einer Cyberattacke auf Energienetze nur die großen Versorgungskonzerne oder auch das kleine Wasserwerk Bericht erstatten müssen.

Wichtig ist für Minister de Maizière, dass Staat und Firmen ein Lagebild entwickeln: also eine laufend aktualisierte Analyse, die zum Beispiel erhebt, wie Angriffe technisch ablaufen, woher sie kommen und welche Schutzmaßnahmen sinnvoll sind.

Dass der Minister staatliche Einrichtungen von den Auflagen des IT-Sicherheitsgesetzes weitgehend ausnimmt, hält der Verband Bitkom für verfehlt. Der Staat sei der größte Betreiber kritischer Infrastrukturen. Deshalb müssten die Meldepflichten und die Auflagen für Standards zum Schutz vor Hacker-Angriffen auch für die öffentliche Hand gelten, sagt Marc Bachmann, der Bitkom-Bereichsleiter für öffentliche Sicherheit. Natürlich könne der Bund den Ländern keine Vorgaben machen, was den Schutz von wichtigen Einrichtungen auf Landesebene betreffe. Es bestehe aber eine Lücke. Denn in den Ländern gebe es in Sachen IT-Sicherheit noch viel zu tun.

Es sei legitim, dass der Staat Kenntnis über Cyber-Attacken auf Stromwerke, Telekommunikationsfirmen, Banken oder Kliniken erlangen wolle, sagt Rainer Gerling. Der IT-Sicherheitsbeauftragte der Max Planck-Gesellschaft mahnt jedoch eine faire Partnerschaft für mehr Sicherheit zwischen der öffentlichen Hand und den Unternehmen an. Wer melden müsse, müsse hinterher auch über das mit diesen Angaben erstellte Lagebild informiert werden. "Jede Firma will wissen, wo sie steht und was sie verbessern kann", sagt Gerling: "Da ist es dann wichtig zu wissen, welche Angriffstechnik gerade häufig verwendet wird und welche Hackergruppen unterwegs sind."