Schon Bundesinnenminister Hans-Peter Friedrich hat 2012 Unmut in der Wirtschaft ausgelöst mit seinem Vorschlag, Hackerangriffe meldepflichtig zu machen. Können Sie die Gründe nachvollziehen?
Zum Teil ja, auch wenn viele Erwiderungen eher pauschaler Natur oder als Reflex auf eine gesetzgeberische Vorgabe zu verstehen waren. Hauptgrund ist eine Unsicherheit über den Umfang einer möglichen Meldepflicht. Nachvollziehbar ist beispielsweise, dass noch nicht klar ist, ob manchmal eine Selbstverpflichtung oder in allen Fällen eine gesetzliche Pflicht geplant ist. Zumindest bei kritischen Infrastrukturen, etwa den Energieversorgern, Atomkraftwerken, der Wasserversorgung, Krankenhäusern oder Banken, dürfte jedoch mit einer Pflicht zu rechnen sein. Dagegen ist generell nichts einzuwenden. Problematisch ist aber, dass aufgrund der Vernetzungen in der IT-Infrastruktur möglicherweise auch kleinere Unternehmen aus der IT-Branche relevant für das Funktionieren des „großen Ganzen“ sein können und dann gegebenenfalls auch vom Gesetz erfasst werden sollen.
Was riskieren Unternehmen mit einer Meldung?
Wenn erfolgreiche Hackerangriffe offenbart werden, kann sich das ungünstig auf die Wahrnehmung bei Kooperationspartnern, Investoren oder Anteilseignern auswirken und den Unternehmenswert beeinflussen. Denkbar ist auch, dass ein erfolgreich gehacktes Unternehmen gegenüber Vertragspartnern schadensersatzpflichtig wird, wenn ein eigenes Verschulden vorliegt.
Kleinere und vielleicht nicht auf IT-Sicherheit zertifizierte Unternehmen sind dann nach einem Hackerangriff auch leicht juristisch belangbar. Es besteht also eine Furcht vor einem mehr oder weniger öffentlichen Spekulieren über die Gründe eines erfolgreichen Angriffs. Es dürfte auch nicht damit zu rechnen sein, dass alle gemeldeten Angriffe bei einer Behörde vertraulich bleiben.
Hat Kommissarin Kroes mit ihrer Initiative auf EU-Ebene bessere Chancen als Friedrich?
Das ist schwierig einzuschätzen. Prinzipiell gehört eine Meldepflicht auf EU-Ebene abgestimmt, da Hackerangriffe und Netzinfrastrukturen auch nicht an nationalen Landesgrenzen halt machen. Gegen einen zumindest raschen Erfolg auf EU-Ebene spricht aber, dass sich kaum alle EU-Staaten kurzfristig einig sein werden, zumal zurzeit andere Probleme aktueller scheinen. Ob die Bundesregierung Dr. Roland Steidle freilich eine Mehrheit findet, ist nach den Aussagen der Koalitionäre beziehungsweise der FDP ebenso fraglich. Möglicherweise geschieht daher auch gar nichts.
Wie müsste eine Meldepflicht für Unternehmen juristisch verankert werden?
Es gibt verschiedene Möglichkeiten. Je nachdem, welche Bereiche beziehungsweise Branchen von einer Meldepflicht erfasst werden sollen, könnten bestehende Gesetze ergänzt werden, etwa im Telekommunikations- oder Energierecht. Es könnte aber auch ein ganz eigenes Gesetz geschaffen werden. Der Zeitrahmen hängt dann vom politischen Willen und der Dringlichkeit ab. Ganz grob geschätzt, dürfte vor Mitte oder Herbst dieses Jahres nicht mit einem Gesetz zu rechnen sein, falls überhaupt.
Sollten Unternehmen schon heute ihr IT-Sicherheitskonzept und ihre internen Notfallpläne auf eine mögliche Meldepflicht ausrichten?
Sie müssen das Thema auf jeden Fall im Auge behalten. Da bislang aber noch zu viele offene Fragen bestehen und nicht einmal klar ist, ob eine gesetzliche Meldepflicht überhaupt kommt, sind konkrete Anpassungen noch nicht möglich.
Die Fragen stellte Michael Milewski
