IT-Sicherheit:Diese Firmen müssen Hacker-Angriffe offenlegen

  • Der Bundestag hat das Gesetz zur IT-Sicherheit verabschiedet: Unternehmen, die als "kritische Infrastruktur" gelten, sind nun verpflichtet, Cyberangriffe zu melden.
  • Durch solche Angriffe entsteht weltweit ein Schaden von 300 Milliarden. Deutschland gilt als lukratives Ziel.
  • Experten kritisieren das Gesetz - und vor allem die Rolle, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei spielt.

Von Hakan Tanriverdi

Es ist schon ein erstaunlicher Zufall: Exakt in der Woche, in der im Bundestag ein Gesetz verabschiedet wird, mit dem die IT-Sicherheit verbessert werden soll, werden zwei digitale Attacken großen Ausmaßes bekannt - auf den Bundestag und auf die Spezialisten der IT-Firma Kaspersky. Beide Fälle zeigen: Wer über ausreichend Zeit und Geld verfügt, schafft es, auch in vermeintlich gut geschützte Netze einzudringen. Das Problem in Deutschland ist: Viele Firmennetze sind nicht einmal das, also hinreichend abgesichert.

Der Bundestag hat am Freitag das Gesetz zur IT-Sicherheit verabschiedet: Bestimmte Unternehmen werden nun gezwungen, die eigenen Netze besser vor Angreifern zu schützen und definierte Sicherheitsstandards einzuhalten. In die Pflicht genommen werden Unternehmen, die Teil der "kritischen Infrastruktur" sind, also wichtig für das Funktionieren des öffentlichen Lebens. Das können sein: Atomkraftwerke, Banken oder Krankenhäuser. Sollte es dennoch zum Datenklau kommen oder zur Betriebsstörung, muss das betroffene Unternehmen das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren. Stellt sich dabei heraus, dass die Firmen sich nicht gut genug gegen Angriffe geschützt haben, sind Strafen bis zu 100 000 Euro vorgesehen.

Experten warnen vor der Rolle des BSI

Das BSI hofft, Firmen in Zukunft besser warnen zu können: Sobald ein Unternehmen sich meldet, teilt es mit, was es weiß. Zum Beispiel, wie genau die Angreifer in die Netzwerke eingedrungen sind. Das BSI kann diese Informationen anschließend verwenden und allen Firmen weiterleiten, die als kritische Infrastruktur gelten. 2000 sollen es insgesamt sein. Diese Unternehmen müssen sich gegen solche Angriffe wappnen - so soll sich die Sicherheit für alle Beteiligten erhöhen.

Alexander Geschonneck arbeitet seit 20 Jahren als IT-Forensiker, bei den Wirtschaftsprüfern von KPMG leitet er diesen Bereich. Schaffen es Hacker in das Firmennetzwerk, untersucht er digitale Spuren und rekonstruiert den Angriff. Geschonneck bezeichnet das BSI zwar als "tüchtige Behörde", warnt aber vor der Rolle des Amtes: "Es muss sichergestellt sein, dass die Informationen in geeigneter Form auch an andere Unternehmen zum Schutz weitergegeben werden und nicht für Angriffe durch andere Behörden ausgenutzt werden können."

Das BSI untersteht dem Innenministerium, das Bundeskriminalamt (BKA) ebenfalls. Das BKA hat ein Programm entwickelt, mit dem es möglich ist, sich - nach richterlicher Genehmigung - Zugriff auf fremde Systeme zu verschaffen. Dafür sind oft Informationen über Software-Lücken notwendig, die Angreifer ausnutzen. Mitunter können das jene Informationen sein, die auch an das BSI gemeldet werden. Auch Linus Neumann, Sprecher des Chaos Computer Clubs, weist deshalb darauf hin, dass das BSI zum Innenministerium gehört und fordert: "Eine Unabhängigkeit muss zwingend hergestellt werden."

Ein Sprecher des BSI bestreitet die Vorwürfe und weist darauf hin, dass es zum Ziel des BSI gehöre, IT-Sicherheit herzustellen: "Wir gehen sorgfältig mit den Informationen um. Es ist wichtig, dass die Unternehmen uns vertrauen." Das könnte sich finanziell auszahlen: Durch Cyberangriffe entsteht laut der europäischen Polizeibehörde Europol weltweit ein Schaden von mehr als 300 Milliarden Euro jährlich. Und Deutschland gilt als lukratives Ziel.

Angreifer unterscheiden nicht nach Unternehmensgröße

Unklar ist nach Ansicht der Experten, warum das Gesetz ausschließlich Firmen betreffen soll, die als kritische Infrastruktur zu gelten haben. "Auch ein Dax-Konzern, der nicht in diese Kategorie fällt, kann angegriffen werden. Und für diese Firma entstehen dann mitunter massive Kosten, die auch zu einem Kurssturz führen könnten", sagt Geschonneck. Das Argument gilt analog auch für kleine Wasserwerke. Angreifer unterscheiden nicht nach Unternehmensgröße.

Gerade der Fall Kaspersky müsse zu denken geben, so Geschonneck. Die renommierte Firma für IT-Sicherheit gab bekannt, selbst infiltriert worden zu sein. Der genaue Grund sei unklar, jedoch nehme man an, dass die Angreifer es auch auf zukünftige Technologien abgesehen hätten. Die Angreifer haben nach Wegen gesucht, um in Zukunft von der Antivirus-Software nicht entdeckt zu werden. Solche Angriffe sind laut Geschonneck üblich. Einbrecher schalteten auch als Erstes die Wachhunde aus. Doch gerade deswegen stelle sich die Frage, ob Antiviren-Software nicht auch vom Gesetz erfasst werden müsse. Firmen verlassen sich darauf, dass diese Dienste funktionieren. Werden sie ausgehebelt, sind die Firmen machtlos: "Wer bewacht die Bewacher?"

Auf jährlichen Konferenzen präsentieren Hacker regelmäßig, wie sie die Systeme von großen Firmen ausgetrickst und sie anschließend damit konfrontiert haben. Die Bandbreite der Firmen reicht von spezialisierten Anbietern bis hin zu großen Firmen, deren Systeme weltweit eingesetzt werden. Sehr oft berichten die Hacker von einer Erfahrung, die sie dabei machen müssen: Die Firmen nehmen sie nicht ernst, die Ergebnisse werden abgetan. Ganz so einfach werden sie es künftig nicht mehr haben.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: