Angst vor dem großen Blackout: Neue Wege gegen Cyberattacken
Berlin (dpa) - Unternehmen sprechen höchst ungern darüber, wenn sie Opfer von Cyberattacken werden. Dabei sind die Gefahren groß - vor allem, wenn es sensible Bereiche trifft, wie etwa Energieversorger oder Banken.
Die Regierung will solche Firmen nun per Gesetz zum Reden bringen.
Stromversorger, Wasserwerke, Banken, Bahnnetze, Krankenhäuser - sie alle arbeiten computerbasiert und IT-gestützt. Das macht sie verletzlich. Was tun, wenn sich Hacker in die ihre IT-Systeme einschleichen, wenn sie großflächig die Stromversorgung oder Kommunikationsnetze lahmlegen, Kraftwerke sabotieren oder die Trinkwasserversorgung unterbrechen? Genau das will die Bundesregierung verhindern und solche sensiblen Bereiche künftig besser schützen.
Seit Jahren wächst die Bedrohung durch Hacker, die im Netz ihr Unwesen treiben, Schadsoftware verbreiten, sich heimlich in Computersysteme einschleusen, Daten abgreifen oder fremde Rechner und Netze für ihre Zwecke missbrauchen. Belastbare Zahlen dazu gibt es nicht. Nur ein Bruchteil dessen, was sich dort abspielt, ist bekannt. Das Dunkelfeld bei Cyberkriminalität ist übergroß.
Gerade die Wirtschaft ist ein beliebtes Ziel für Cyberattacken. Mal geht es um Spionage, mal um Sabotage. Besonders heikel ist es, wenn ein solcher Angriff einen Betrieb trifft, der eine wesentliche Rolle für das öffentliche Leben spielt: also beispielsweise Strom- und Gaslieferanten, Telekommunikationsanbieter, Banken, Börsen, Versicherungen, Verkehrsbetriebe, Krankenhäuser oder Wasserversorger. „Kritische Infrastrukturen“ nennt man das im Behördendeutsch. Wenn sie gestört sind oder ausfallen, kann es zu Versorgungsengpässen kommen, zu Sicherheitsproblemen, zu Chaos oder zum großen Blackout.
Eine große Schwierigkeit ist aber: Unternehmen, die Opfer von Cyberangriffen werden, reden höchst ungern darüber. Dahinter steckt die Angst vor einem Imageschaden und Ansehensverlust.
Christian Schaaf berät Unternehmen in Sicherheitsfragen. „Cyberangriffe auf Firmen nehmen permanent zu“, sagt der Geschäftsführer der Unternehmensberatung Corporate Trust. Nur zu gut kennt er die große Scheu von Firmen, solche Attacken offenzulegen und sich den Sicherheitsbehörden anzuvertrauen. „Da spricht man nicht drüber.“ Ein weiteres Problem: „Viele Unternehmen merken gar nicht, dass sie attackiert werden.“
Die Angreifer hätten dazugelernt, sagt Schaaf. Bei der Abwehr habe sich dagegen deutlich weniger getan. Bei vielen Firmen fehle noch immer das nötige Bewusstsein für die Gefahren - und die Bereitschaft, ausreichend Geld in die IT-Sicherheit zu stecken.
Den Sicherheitsbehörden macht das mangelnde Gefahrenbewusstsein und das große Schweigen der Wirtschaft zu schaffen. Um Gegenstrategien zu entwickeln, müsse man analysieren, wie Angreifer vorgehen, beklagen sie. Wenn niemand darüber spricht, ist das aber schwierig.
Innenminister Thomas de Maizière (CDU) will die Betreiber kritischer Infrastrukturen nun gesetzlich verpflichten, bei ihrer IT-Sicherheit Mindeststandards einzuhalten und unverzüglich zu melden, wenn sie Opfer eines Cyberangriffs werden.
Schon in der vergangenen Wahlperiode gab es Pläne für ein solches IT-Sicherheitsgesetz. Doch die Wirtschaft stemmte sich dagegen, aus dem Plan der damaligen Regierung wurde nichts. Unternehmen forderten unter anderem, dass sie auch anonym Cyberangriffe melden können.
De Maizière geht nun an diesem und einigen anderen Punkten auf die Wirtschaft zu: Er will den betroffenen Firmen unter anderem die Möglichkeit zu anonymen Hinweisen geben - und viel Mitsprache bei der Entwicklung der Sicherheitsstandards. So fallen auch die Reaktionen aus der Wirtschaft bei diesem zweiten Anlauf für das IT-Sicherheitsgesetz deutlich positiver aus.
Schaaf hält es aber für den falschen Weg, die Betreiber kritischer Infrastrukturen besonders ins Visier zu nehmen. Denn gerade sie seien sich schon länger der Risiken bewusst. „Da setzt man am verkehrten Ende an.“ Wichtiger wäre, jene Firmen zu höheren Sicherheitsstandards zu drängen, die sich darum noch gar nicht kümmern.
In einer aktuellen Umfrage von Corporate Trust unter mehreren Hundert deutschen Firmen berichtete jedes zweite Unternehmen, es habe in den vergangenen zwei Jahren einen Spionageangriff oder zumindest einen Verdachtsfall festgestellt - am häufigsten durch Hackerangriffe auf EDV-Systeme. Eine weitere Erkenntnis der Studie: Die Firmen versuchen in der Regel, selbst mit solchen Attacken fertig zu werden - ohne Unterstützung staatlicher Stellen oder externer Spezialisten. Schaaf meint, es bräuchte einen grundlegenden Bewusstseinswandel in der Wirtschaft - und IT-Mindeststandards für alle Firmen.