Während die Netze des Bundes gut aufgestellt seien, seien Unternehmen oft noch nicht gut genug auf solche Angriffe vorbereitet. "Wir kooperieren mit den kritischen Infrastrukturen, mit den Energieversorgern, Wasserversorgern und anderen seit 2005. Wir haben ein sehr vertrauensvolles Verhältnis aufgebaut, aber dennoch, gerade da hören wir, was noch alles offen ist, was an neuen Erfahrungen die Firmen bewegt. Und was auch in den Netzen, IT- und Computersystemen zu tun bleibt."
Kaum Notfallpläne für Cyberattacken
Laut einer Umfrage hat nur knapp die Hälfte aller Unternehmen in Deutschland einen Notfallplan für Cyberattacken. Mit ihrem IT-Sicherheitgesetz, mit dem sich nach der ersten Lesung im Bundestag die zuständigen Ausschüsse beschäftigen, will die Bundesregierung bestimmte Unternehmen verpflichten, für mehr Sicherheit zu sorgen - und vor allem Angriffe zu melden. Christian Flisek, der Obmann der SPD-Fraktion im NSA-Untersuchungsausschuss, sagte im Deutschlandfunk, das IT-Sicherheitsgesetz sei ein erster wesentlicher Schritt, um mehr über das Ausmaß und die Art von Attacken zu erfahren. Deshalb halte er die Meldepflicht für ein wesentliches Element:
"Weil sie den staatlichen Stellen einen Überblick geben soll über die Gefährdungslage in diesem Bereich, ohne den kommen wir nicht aus. Aber ich bin mir auch im Klaren, dass eine Meldepflicht allein Cyberattacken nicht verhindern werden. Sie sind nur ein Instrument."
Bei der Meldepflicht von Cyberattacken gehe es vor allem darum, Informationen von betroffenen Privatunternehmen zu bekommen - anonym. Diese machten Hackerangriffe auf sie häufig nicht oder nur mit Verzögerung publik. Cybersicherheit sei eine staatliche und eine private Aufgabe. Für die Sicherheit der digitalen Infrastruktur seien die Eigentümer zuständig.
"Wenn das Privatunternehmen sind, dann liegt die Pflicht vor allem hier bei den Unternehmen. Aber natürlich ist auch der Staat selber Betreiber von solchen Strukturen, er ist dann in seiner Eigentümerrolle gefragt. Und schlussendlich ist der Gesetzgeber gefragt, er kann und muss gesetzliche Rahmenbedingungen für die IT-Sicherheit zur Verfügung stellen", sagte Nadine Schön, stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion. Sie schloss angesichts des jüngsten Angriffs Änderungen an dem Gesetzentwurf nicht aus. Unter anderem müsse möglicherweise der Begriff der "kritischen Infrastruktur" schärfer definiert werden.
Kritische Infrastruktur schützen
Zur kritischen Infrastruktur zählen die Bereiche: Energieversorgung, Telekommunikation, Transportwesen, Wasserwirtschaft, Lebensmittelhandel, Finanz- und Versicherungswesen und die staatliche Verwaltung. Der Hackerangriff auf den französischen Fernsehsender zeige eine neue Qualität des Cyberkrieges durch Islamisten, erklärte Verfassungsschutzpräsident Hans-Georg Maaßen. Tobias Plate, Sprecher des Innenministeriums, betonte gestern, man erkenne keine gestiegene Gefahr. Die Sicherheitslage sei grundsätzlich angespannt:
"In der Tat ist es jedenfalls so, dass die Angriffe technisch immer anspruchsvoller und komplexer werden, und demnach auch der Bedarf, sich gegen solche Angriffe zu schützen, kontinuierlich steigt."
Nach Ansicht des stellvertretenden Vorsitzenden der Grünen- Bundestagsfraktion, Konstatin von Notz, hat die Bundesregierung die Bedrohung durch Cyberattacken zu lange nicht ernst genug genommen. Auch das geplante IT-Sicherheitsgesetz gehe an den wirklichen Problemen vorbei.