Europäische Kommission:EU nimmt Kampf gegen Hacker auf

Hacker

Bis zu 400.000 Cyber-Attacken registriert allein die Telekom - jeden Tag.

(Foto: dpa)

Die Brüsseler Kommission arbeitet an einer Richtlinie, die Cyber-Attacken meldepflichtig machen soll. Davon könnten Zehntausende Firmen betroffen sein, die aber fürchten Imageprobleme.

Von Javier Cáceres, Brüssel

Wenn Sicherheitsexperten über die Bedrohungen philosophieren, die sich am Horizont auftun, klagen sie gern über das breite Publikum. Es sei sich der größten Gefahr gar nicht bewusst, die da aufziehe, sie nennt sich: Cyber-Kriminalität. So gesehen dürften sie der jüngsten Nachricht eines so genannten Hacker-Angriffs, also einem unerlaubten Zugriff auf die elektronischen Daten eines Unternehmens, auch etwas Positives abgewonnen haben. Denn zu den jüngsten Opfern einer Cyber-Attacke zählt nach eigenen Angaben des Kurznachrichtendienstes Twitter, das weltweit nach eigenen Angaben 200 Millionen Nutzer hat - davon mindestens vier Millionen in Deutschland.

Über den Ursprung der Attacke spekulierte Twitter nicht. Ein paar Urteile wagte der US-Konzern sehr wohl. Erstens, dass es "nicht das Werk von Amateuren" gewesen sein könne. Und zweitens, dass man kaum vor einem isolierten Fall stehe: "Wir glauben, dass andere Unternehmen und Organisationen kürzlich ebenfalls ähnlich attackiert worden sind", erklärte Twitter.

Wie wahrscheinlich dies ist, legen Zahlen nahe, die René Obermann, der Chef der Deutschen Telekom, am Wochenende auf der Münchner Sicherheitskonferenz referierte. Bis zu 400.000 Attacken registriere sein Unternehmen in den eigenen Netzen, und zwar "täglich". Dazu passte, dass die stellvertretende amerikanische Heimatschutz-Ministerin Jane Holle Lute an gleicher Stelle ein Bonmot aus Washington zum Besten gab. Unternehmen unterteile man dort nur noch in zwei Klassen: "Solche, die angegriffen wurden. Und solche, die wissen, dass sie angegriffen wurden."

Weil diese Kategorien auch auf europäische Firmen anwendbar wären, will die Europäische Kommission nun zumindest erreichen, dass die strategisch wichtigsten Firmen europaweit verpflichtet werden, Cyberattacken an nationale Behörden zu melden. Nur so könne europaweit "ein hohes Level an Netzwerk- und Informationssicherheit" hergestellt werden.

So jedenfalls wird es in einem Richtlinienvorschlag der Kommission zu lesen sein, der am Donnerstag dieser Woche in Brüssel vorgestellt werden soll. Einem Eckpunktepapier zufolge, das der Süddeutschen Zeitung vorliegt, ist der Kreis der betroffenen Unternehmen denkbar groß: Strom- und Gasversorger, Airlines und Zugunternehmen, Bahnhöfe, Flug- und Seehäfen, aber auch Banken, Börsenbetreiber, Kliniken, Verwaltungsstellen und erst recht Datenverarbeitungsfirmen. Sie alle sollen "größere Zwischenfälle" an nationale Datensicherheitsbehörden melden.

Cyberattacken reichen an veritable Kriegsführung heran

Die Kommission rechnet mit etwa 44.000 betroffenen Firmen. Vorgeschlagen wird zudem der Aufbau von nationalen Cyber-Abwehr-Einrichtungen, die untereinander vernetzt werden sollen. In Brüssel wird unterstrichen, dass keine neue Behörde entstehen solle. Angestrebt werde allerdings eine Stärkung der vor knapp zehn Jahren gegründeten Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die ihren Sitz auf Kreta hat - und bislang mit etwa 50 hauptamtlichen Mitarbeitern auskommt.

Mit der Richtlinie würde die Kommission das Postulat der Selbstregulierung bei der Cybersicherheit endgültig begraben. Bereits Ende November hatte die Kommissarin für die Digitale Agenda, die Niederländerin Neelie Kroes, erklärt, dass man im Fall der Datensicherheit nicht weiterkomme. Der Grund: Eine Vielzahl von Unternehmen sieht davon ab, Datenangriffe öffentlich zu machen - teils aus Angst vor Imageschäden, teils auch aus Furcht vor dem Verlust sensibler Daten an die Konkurrenz.

Brüsseler Beamte halten dies für falsch. Ähnlich wie Bundesinnenminister Hans-Peter Friedrich (CSU), der auf deutscher Ebene ebenfalls eine Meldepflicht einführen will, argumentieren sie, dass es unabdingbar sei, einen möglichst umfassenden Überblick über Attacken zu bekommen. Nicht nur aus Gründen der Strafverfolgung von kommerziell motiviertem Datenklau. Sondern auch, um Sicherheitsstandards zu verbessern oder Sabotageakten vorbeugen zu können, wie im Fall des EU-Mitgliedslandes Estland im Jahr 2007. Damals legten sogenannte "Denial of Service"-Angriffe Regierungs- und Verwaltungsstellen sowie die größte Bank des Landes lahm.

Wie nahe die Cyberattacken auch an veritable Kriegsführung heranreichen, belegt die Episode, von der am Freitag die israelische Zeitung Haaretz berichtete. Demnach hätten syrische Hacker auf die E-Mail-Konten von 80 Mitarbeitern zugegriffen, Verlagsangestellte, Reporter, leitende Redakteure seien betroffen gewesen. Auch Russland und China sind in den vergangenen Monaten immer wieder solcher Praktiken beschuldigt worden. In den vergangenen Tagen berichteten The New York Times und das Wall Street Journal über Hacker-Attacken, die vermutlich aus China geführt worden seien. China bestreitet dies vehement. Ob das Vorhaben der Kommission solche Angriffe vereiteln könnte, wird sich erst noch zeigen müssen.

Grundsätzlich seien die Pläne der Kommission aber zu begrüßen, findet der grüne Datenschutzexperte im Europaparlament, Jan-Philipp Albrecht. "Sie sind ein Schritt in die richtige Richtung", sagte er am Sonntag. Er baue darauf, dass auch Netzwerkbetreiber in die Pflicht genommen werden. Sie müssten Mindestsicherheitsstandards erfüllen und im Fall von Daten-Lecks, die auf Fahrlässigkeit zurückzuführen sind, auch zur Verantwortung gezogen werden können. Albrecht: "Das große Problem ist, dass viele Systeme komplett offen sind." Er verwies auf das Beispiel des belgischen Eisenbahnbetreibers SNBC, der zum Jahreswechsel in die Schlagzeilen geraten war. SNBC hatte ungewollt die Daten von 1,4 Millionen Kunden online zugänglich gemacht, darunter auch von Regierungschefs, Abgeordneten und Nato-Mitarbeitern.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: