IT-Sicherheitsvorfälle
Heftige Kritik an geplanter Meldepflicht
Auf Ablehnung stoßen die Pläne der EU-Kommission, eine Meldepflicht für IT-Sicherheitsvorfälle einzuführen. Eine solche Meldepflicht für »zentrale Internetunternehmen« schießt nach Ansicht des Bitkom deutlich über das Ziel hinaus.
Derartige gesetzlich vorgeschriebene Meldepflichten für größere Sicherheitsvorfälle sollten sich auf die Betreiber so genannter kritischer Infrastrukturen beschränken. »Eine Ausweitung der Meldepflichten auf andere Internetunternehmen ist nicht verhältnismäßig«, sagt Bitkom-Präsident Prof. Dieter Kempf. Wenn man schnell ein umfangreiches Lagebild zur Cyberkriminalität bekommen will, sind seiner Ansicht nach freiwillige Meldungen sehr vieler Unternehmen, die auf Wunsch auch anonym abgegeben werden können, deutlich sinnvoller. Ein solches Meldesystem hat die ITK-Branche in Deutschland in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits eingeführt. »Das System muss jetzt in der Fläche bekannt gemacht werden, damit auch der Mittelstand dafür sensibilisiert wird, so Kempf.
Geht nach den Plänen der EU-Kommission, sollen zu den meldepflichtigen kritischen Infrastrukturen neben Telekommunikationsnetzen folgende Bereiche gehören: Banken und Börsen, Energieversorger, Transport und Logistik, Gesundheitswesen, öffentliche Verwaltungen sowie »zentrale Internetunternehmen«. Zu diesen Internetunternehmen gehören für die Kommission zum Beispiel Cloud Provider, Soziale Netzwerke, E-Commerce Plattformen, App-Stores oder Suchmaschinen. Diese Unternehmen sollen an die nationalen Behörden alle Vorfälle melden, die ihren Service stark beeinträchtigen. »Eine vorübergehende Unterbrechung bestimmter Online-Dienste ist nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen«, kritisiert Kempf. Für die Anbieter gängiger Internetdienste sei eine Meldepflicht daher nicht gerechtfertigt. Die betroffenen Unternehmen fürchten nicht nur einen hohen bürokratischen Aufwand sondern auch einen Imageschaden, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden. Darüber hinaus könnte die Meldung von Sicherheitsvorfällen nach Ansicht von Kempf Nachahmer auf den Plan rufen.
Eine Meldepflicht für IT-Sicherheitsvorfälle gibt es hierzulande bereits für die Betreiber von Telekommunikationsnetzen nach dem Telekommunikationsgesetz (TKG). Sie müssen Vorfälle immer dann melden, wenn personenbezogene Daten betroffen sind, etwa beim Diebstahl von Online-Zugangsdaten oder Kreditkartennummern. Darüber hinaus sind Meldungen von IT-Sicherheitsvorfällen, die das BSI entgegennimmt, freiwillig und können auch anonym erfolgen.
Lesen Sie mehr zum Thema
