Bitkom ruft die Unternehmen in Deutschland dazu auf, schwerwiegende Angriffe auf ihre IT-Systeme freiwillig den Behörden zu melden: "Die Sicherheitsbehörden brauchen aktuelle Informationen über gravierende Cyber-Angriffe, um Gegenmaßnahmen zu entwickeln, damit weitere Nutzer rechtzeitig gewarnt werden können", postuliert Bitkom-Präsident Dieter Kempf mit Blick auf die jüngsten Attacken auf Unternehmen in den USA und Deutschland.
Foto: Rike / pixelio.de
Seit Beginn 2013 berichteten Unternehmen wie Apple, Microsoft und Facebook von Angriffen auf ihre IT-Systeme, in Europa bestätigten EADS und ThyssenKrupp entsprechende Vorfälle. Entscheidend ist dabei aus Sicht des Branchenverbands, dass Meldungen an staatliche Stellen vertraulich behandelt werden. "Wir brauchen eine neue IT-Sicherheitskultur in der Wirtschaft, die auf Transparenz und Kooperation setzt", sagt Kempf. "Und wir brauchen Sicherheitsbehörden, die von ihrer technologischen und personellen Ausstattung her in der Lage sind, Cyberangriffe abzuwehren und die Unternehmen in ihren eigenen Sicherheitsaktivitäten wirksam zu unterstützen." Laut einer Bitkom-Umfrage sind fast drei Viertel aller deutschen Unternehmen grundsätzlich dazu bereit, bei IT-Sicherheitsvorfällen mit den Behörden zusammenzuarbeiten.
Ein entsprechendes Meldesystem für IT-Sicherheitsvorfälle hat die ITK-Branche in Deutschland in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits etabliert. Dazu wurde die Allianz für Cyber-Sicherheit gegründet, die die Zusammenarbeit von Sicherheitsbehörden, Forschungseinrichtungen und Wirtschaft beim Kampf gegen die Cyber-Kriminaliät koordiniert. Hier können Angriffe freiwillig und anonym gemeldet werden. "Das Meldesystem muss in der Fläche bekannt gemacht werden, damit auch der Mittelstand entsprechend sensibilisiert wird." Bitkom setzt hier auf den Aufbau regionaler Netzwerke in Kooperation mit Sicherheitsbehörden, Industrie und Handwerkskammern sowie mit anderen Institutionen.
Laut einer Bitkom-Umfrage verzeichneten 40 Prozent der Unternehmen in Deutschland bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle. Viele Unternehmen sind auf solche Situationen schlecht vorbereitet. Die Hälfte der Befragten gab an, dass sie keinen Notfallplan für IT-Sicherheitsvorfälle hat. Und ein Drittel der Unternehmen gestehen ein, dass sie Nachholbedarf beim Thema IT-Sicherheit haben. "Die Unternehmen müssen sehr schnell auf neue Gefahren reagieren", sagte Kempf. Besonders gefährlich seien derzeit so genannte Drive-by-Downloads. Dabei laden sich Internetnutzer beim Besuch manipulierter Webseiten unbewusst Schadsoftware auf den eigenen Rechner. Bei einigen der jüngsten Attacken war die Schadsoftware auf speziellen Webseiten für Software-Entwickler versteckt.
Gesetzliche Meldepflichten von IT-Sicherheitsvorfällen sieht der Branchenverband dagegen weiterhin kritisch. "Wir brauchen nicht für jedes Sicherheitsproblem ein neues Gesetz", sagte Kempf. "Gesetzliche Meldepflichten für IT-Sicherheitsvorfälle sollten sich auf die Betreiber Kritischer Infrastrukturen beschränken." Eine vorübergehende Unterbrechung von Online-Diensten infolge eines Cyberangriffs sei nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen.
Meldepflichten von IT-Sicherheitsvorfällen gibt es in Deutschland bereits für die Betreiber von Telekommunikationsnetzen nach dem Telekommunikationsgesetz. Nach dem Bundesdatenschutzgesetz müssen außerdem Vorfälle gemeldet werden, wenn personenbezogene Daten betroffen sind. Das ist zum Beispiel der Fall, wenn die Zugangsdaten oder Kreditkartendaten gestohlen werden. Anonyme und freiwillige Meldungen von IT-Sicherheitsvorfällen sind beim BSI möglich. Die Meldestelle ist auf der Website der Allianz für Cyber-Sicherheit erreichbar. (rw)