Sie ist EU-Kommissarin für die digitale Agenda und hat sich vorgenommen, Europa besser vor virtuellen Attacken zu schützen. Der mögliche Weg zu mehr IT-Sicherheit, den Politikerin Neelie Kroes kürzlich in einem Mediengespräch kundgetan hat, ist allerdings umstritten: Sobald Kriminelle aktiv geworden sind, sollen betroffene Unternehmen den Vorgang staatlichen Stellen melden müssen, damit die Sache zentral erfasst und weiterverfolgt werden kann. Diese Meldepflicht will Neelie Kroes gesetzlich festzurren, weil sie daran zweifelt, dass eine Selbstregulierung gegen Cyber-Bedrohungen ausreicht. In der Süddeutschen Zeitung nannte sie auch mehr Transparenz beim Umgang mit Hackerangriffen als Ziel: „Es geht nicht darum, sich gegenseitig die Schuld in die Schuhe zu schieben – sondern darum, voneinander zu lernen.“ Eine Technologie wie das Cloud Computing, also das Auslagern von Daten und Diensten ins Netz, werde der Wirtschaft nur dann neuen Schwung verleihen, wenn die Nutzer auf die Sicherheit vertrauen.
Wie eine Meldepflicht im Detail gestaltet sein könnte, ließ Neelie Kroes nach ihrer Ankündigung zunächst offen. Festzustehen scheint jedoch, dass die Wirtschaft davon wenig angetan ist. „Bei Unternehmen besteht aus Sorge um die Außenwirkung eine starke Tendenz, erfolgreiche Hackerangriffe nicht zu offenbaren. Niemand gibt gerne eine öffentliche Zielscheibe ab oder gar eigene Fehler zu“, sagt Dr. Roland Steidle, Fachanwalt für Informationstechnologierecht, verweist aber auch auf weitere Unwägbarkeiten im Zusammenhang mit einer Meldepflicht (siehe Interview).
Mit erbosten Worten kommentiert Sebastian von Bomhard die Überlegungen der Politik: „Das ist blinder Aktionismus, der unnötig verunsichert“, echauffiert sich der Vorstand des Münchner Internetproviders SpaceNet. Ein stimmiges Konzept sehe er bislang nicht. „Das beginnt schon bei der Frage, was überhaupt als Hackerangriff gelten soll“, bemängelt er. „Und wenn sogar Angriffe, die nicht zum Erfolg führen, meldepflichtig werden sollten, wäre das lächerlich, denn solche Angriffsversuche, die meistens automatisiert erfolgen, registrieren wir ständig, rund um die Uhr.“ Es bestehe die Gefahr, Ressourcen zu verschwenden, um rein formale Vorgaben zu erfüllen.
Der Ruf nach einer Meldepflicht komme ihm vor wie der Versuch, ein europäisches Gesundheitsamt zu errichten, das Meldungen über sämtliche Krankheiten sammelt. „Wer einen Schnupfen hat und nicht meldet, macht sich strafbar, und wer einen Schnupfen verhindert hat, müsste das ebenfalls melden“, verdeutlicht er. Es sei schon heute ein Provider-Service, Kunden bei Bedarf einen Analyse-Report bereitzustellen und zu beraten. Außerdem gebe es ohnehin das Computer-Notfallteam „CERT-Bund“. Angesiedelt beim Bundesamt für Sicherheit in der Informationstechnik (BSI), sammelt und veröffentlicht es Informationen zu Sicherheitslücken sowie aktuellen Bedrohungen (www.cert-bund.de).
Ablehnung signalisiert auch der Bundesverband IT-Mittelstand (BITMi). Präsident Dr. Oliver Grün pflichtet EU-Kommissarin Kroes zwar bei, dass IT-Sicherheit zu den wichtigsten Themen der Wirtschaftsentwicklung gehöre und gerade im wachstumsstarken Cloud-Computing-Markt ein hoher Sicherheitsstandard notwendig sei, um bei Anwendern Vertrauen zu schaffen. „Die zurzeit anvisierte Meldepflicht der Unternehmen bei Hackerangriffen geht jedoch an der eigentlichen Problemlage vorbei“, kritisiert Grün in einer Stellungnahme. Staatlichen Zwang lehne er ab. „Das angemessene Mittel im Netzzeitalter ist Selbstregulierung. Denn aus einer zentralen Registrierung der IT-Angriffe auf Unternehmen folgen noch keine funktionierenden Lösungen.“ Diese zu finden, sei Sache der Betroffenen selbst. Es habe sich außerdem gezeigt, „dass Behördenlösungen und zentralistische Planungen vom Geiste her der Dynamik und dem Tempo des Internets nicht gerecht werden“, so Grün. Gerade im Hackerbereich seien die Entwicklungen äußerst lebhaft und kompliziert, so dass eine Behördenlösung nicht Schritt halten würde. Sein Vorschlag: „Statt Geld für eine behördliche Regelung auszugeben, sollte es zur Verfügung gestellt werden, um die Selbstregulierung zu organisieren. Dann lassen sich angemessene Lösungen entwickeln, ohne neue, unnötige Papierberge zu produzieren.“
Michael Milewski
