Archiv


Gefährliche Geheimhaltung

Viele Bereiche unseres modernen Lebens sind mit Informationstechnologie und digitalen Netzen verbunden und stellen lohnende Ziele für Cyberangreifer dar. Doch nur von wenigen Attacken erfährt man, viele Betroffenen halten sie lieber geheim. Daher diskutieren Experten eine Meldepflicht für Angriffe auf IT-Systeme.

Von Jan Rähm |
    Die deutsche Bundesregierung ist ein beliebtes Ziel für digitale Angreifer. Allein im vergangenen Jahr habe es über 1000 Angriffe auf das Regierungsnetz des Bundes gegeben, erklärte Verfassungsschutzpräsident Hans Georg Maaßen auf der Potsdamer Konferenz für Nationale CyberSicherheit:

    "Was wir wissen, sind eben die Angriffe auf das Netz der Bundesregierung. Was wir nicht wissen, sind Angriffe auf die Wirtschaft und da auch auf Unternehmen der kritischen Infrastrukturen und deswegen, denke ich, ist auch ein ganz wichtiger Schritt, die Initiative von Innenminister Friedrich, dass es Meldepflichten geben sollte, gerade im Bereich der kritischen Infrastrukturen, für elektronische Angriffe, damit deutlich wird, wo sind unsere Schwachpunkte, damit wir daraus lernen können und Abwehrstrategien auch aufbauen können."

    Doch die Meldepflicht ist umstritten. Vor allem das Wirtschaftsministerium und der Bundesverband der Deutschen Industrie lehnen den Entwurf für ein entsprechendes Gesetz ab. Sie wie auch die Unternehmen sehen ein deutliches Mehr an Bürokratie durch die Meldepflicht auf sich zukommen. Auch befürchten sie Imageschäden, falls Vorfälle bekannt würden. Wenn Unternehmen die Pflicht aber per se ablehnen, stellt sich die Frage, ob wirklich gemeldet würde, selbst wenn es ein entsprechendes Gesetz gibt. Außerdem ist noch unklar, was genau unter die Meldepflicht fallen soll. Bernhard Rohleder, Hauptgeschäftsführer des Branchenverbands BITKOM:

    "Das können sie ja letztendlich nicht kontrollieren. Die Unternehmen wissen ja oft selbst nicht, dass sie gerade angegriffen werden. Es gibt große Netzbetreiber, die haben jeden Tag hunderttausend Portscan-Attacken, wo einfach jemand sozusagen die Netze abtestet, wo ist eine Lücke und wo kann ich dann letztlich eindringen. Also diese Relevanzschwelle die ist bislang undefiniert. Die muss definiert werden und anstelle von Kontrolle bleibt Ihnen nur eins, das Ganze nämlich strafzubewehren, also dafür zu sorgen, dass mit drakonischen Strafen die Unternehmen wirklich gezwungen werden, ihre gesetzliche Meldepflicht auch wirklich zu erfüllen."

    Eine Meldepflicht ganz anderer Art dagegen fordern Entwickler und IT-Sicherheitsforscher. Sie sagen, vor allem Sicherheitslücken in Software und Systemen müssten schnell und transparent offengelegt werden. Nur so könne der nötige Druck erzeugt werden, dass Hersteller die Lücken schnell schließen. Noch immer gebe es kritische Fehler, die teilweise seit Jahre bestehen und nur deshalb nicht oder nur selten ausgenutzt werden, weil die Informationen über und zu den Lücken geheim gehalten wird. Doch selbst wenn es ein Lösung in Form eines Updates gebe, würden viele Unternehmen nicht handeln. Christoph Meinel, Wissenschaftlicher Direktor des Hasso-Plattner-Instituts in Potsdam, hat beobachtet, dass aus Sorge,

    "da könnte etwas schief gehen, die Updates nicht eingespielt werden. In dem Moment, wo so ein Update aber zur Verfügung steht, ist die Schwachstelle bekannt, die ist dann jedem bekannt, auch den Bösen bekannt, es ist klar, wie der Weg zum Missbrauch dieser Schwachstelle ist, und in so fern ist das hochgradig leichtsinnig, wenn ich dann nicht diese Möglichkeiten des Schuttes übernehme. Und Studien zeigen, dass sehr viele erfolgreiche Angriffe mit hohen Schadwirkungen in der Wirtschaft, Schwachstellen benutzen, die bekannt sind und wo es Gegenmaßnahmen gäbe."

    Eine Meldepflicht für kritische Sicherheitslücken würde auch den Druck auf die Betreiber wichtiger Systeme wie beispielsweise Banken oder Energieversorger erhöhen, die Systeme sicher zu halten. Sie ist dennoch nicht Teil des Gesetzentwurfs zur IT-Sicherheit. Verfassungsschutzpräsident Hans Georg Maaßen:

    "Eine Meldepflicht halte ich derzeit nicht für notwendig. Aber ich halte es für wichtig, dass aufgrund der Erkenntnisse aus bestehenden oder in der Vergangenheit bestandenen Lücken Schlussfolgerungen gezogen worden sind, darüber was es für Erkenntnisabflüsse gegeben hat, Informationsabflüsse oder Sabotageangriffe gegeben."

    Der Fokus, so scheint es, liege vorrangig auf nachträglichem Erkenntnisgewinn und der Strafverfolgung. Aber Angriffe werden so nicht verhindert und Systeme und Software nicht sicherer. Darum fordern Kritiker eine Meldepflicht sowohl für Sicherheitsvorfälle als auch Sicherheitslücken.