IT-Sicherheit Diese Firmen müssen Hacker-Angriffe offenlegen

  • Der Bundestag hat das Gesetz zur IT-Sicherheit verabschiedet: Unternehmen, die als "kritische Infrastruktur" gelten, sind nun verpflichtet, Cyberangriffe zu melden.
  • Durch solche Angriffe entsteht weltweit ein Schaden von 300 Milliarden. Deutschland gilt als lukratives Ziel.
  • Experten kritisieren das Gesetz - und vor allem die Rolle, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei spielt.
Von Hakan Tanriverdi

Es ist schon ein erstaunlicher Zufall: Exakt in der Woche, in der im Bundestag ein Gesetz verabschiedet wird, mit dem die IT-Sicherheit verbessert werden soll, werden zwei digitale Attacken großen Ausmaßes bekannt - auf den Bundestag und auf die Spezialisten der IT-Firma Kaspersky. Beide Fälle zeigen: Wer über ausreichend Zeit und Geld verfügt, schafft es, auch in vermeintlich gut geschützte Netze einzudringen. Das Problem in Deutschland ist: Viele Firmennetze sind nicht einmal das, also hinreichend abgesichert.

Bundestag bekommt Hackerangriff nicht unter Kontrolle

Seit einem Monat herrscht im Bundestag eine fremde Macht. Die Hacker verfügen mittlerweile sogar über Administratoren-Rechte. Von John Goetz, Bastian Obermayer und Benedikt Strunz mehr ...

Der Bundestag hat am Freitag das Gesetz zur IT-Sicherheit verabschiedet: Bestimmte Unternehmen werden nun gezwungen, die eigenen Netze besser vor Angreifern zu schützen und definierte Sicherheitsstandards einzuhalten. In die Pflicht genommen werden Unternehmen, die Teil der "kritischen Infrastruktur" sind, also wichtig für das Funktionieren des öffentlichen Lebens. Das können sein: Atomkraftwerke, Banken oder Krankenhäuser. Sollte es dennoch zum Datenklau kommen oder zur Betriebsstörung, muss das betroffene Unternehmen das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren. Stellt sich dabei heraus, dass die Firmen sich nicht gut genug gegen Angriffe geschützt haben, sind Strafen bis zu 100 000 Euro vorgesehen.

Experten warnen vor der Rolle des BSI

Das BSI hofft, Firmen in Zukunft besser warnen zu können: Sobald ein Unternehmen sich meldet, teilt es mit, was es weiß. Zum Beispiel, wie genau die Angreifer in die Netzwerke eingedrungen sind. Das BSI kann diese Informationen anschließend verwenden und allen Firmen weiterleiten, die als kritische Infrastruktur gelten. 2000 sollen es insgesamt sein. Diese Unternehmen müssen sich gegen solche Angriffe wappnen - so soll sich die Sicherheit für alle Beteiligten erhöhen.

Alexander Geschonneck arbeitet seit 20 Jahren als IT-Forensiker, bei den Wirtschaftsprüfern von KPMG leitet er diesen Bereich. Schaffen es Hacker in das Firmennetzwerk, untersucht er digitale Spuren und rekonstruiert den Angriff. Geschonneck bezeichnet das BSI zwar als "tüchtige Behörde", warnt aber vor der Rolle des Amtes: "Es muss sichergestellt sein, dass die Informationen in geeigneter Form auch an andere Unternehmen zum Schutz weitergegeben werden und nicht für Angriffe durch andere Behörden ausgenutzt werden können."

Das BSI untersteht dem Innenministerium, das Bundeskriminalamt (BKA) ebenfalls. Das BKA hat ein Programm entwickelt, mit dem es möglich ist, sich - nach richterlicher Genehmigung - Zugriff auf fremde Systeme zu verschaffen. Dafür sind oft Informationen über Software-Lücken notwendig, die Angreifer ausnutzen. Mitunter können das jene Informationen sein, die auch an das BSI gemeldet werden. Auch Linus Neumann, Sprecher des Chaos Computer Clubs, weist deshalb darauf hin, dass das BSI zum Innenministerium gehört und fordert: "Eine Unabhängigkeit muss zwingend hergestellt werden."

Ein Sprecher des BSI bestreitet die Vorwürfe und weist darauf hin, dass es zum Ziel des BSI gehöre, IT-Sicherheit herzustellen: "Wir gehen sorgfältig mit den Informationen um. Es ist wichtig, dass die Unternehmen uns vertrauen." Das könnte sich finanziell auszahlen: Durch Cyberangriffe entsteht laut der europäischen Polizeibehörde Europol weltweit ein Schaden von mehr als 300 Milliarden Euro jährlich. Und Deutschland gilt als lukratives Ziel.

Viel Hype, wenig Cyberkrieg

Was, wenn Hacker ein Kraftwerk attackieren? In Deutschland wird diskutiert, ob das Internet zu einem Schlachtfeld geworden ist. Doch der Begriff "Cyberkrieg" dient vor allem als Drohkulisse. Von Hakan Tanriverdi mehr ... Analyse