EU-Kommission legt Cybersicherheitsstrategie vor

Die EU-Kommission hat wie erwartet eine Cybersicherheitsstrategie für einen „offenen, sicheren und geschützen Cyberraum“ sowie einen Vorschlag für eine Richtlinie zur Netz- und Informationssicherheit (NIS) veröffentlicht. Darin legt sie dar, wie Cyberstörungen und -angriffe am besten verhindert und bewältigt werden können. Ziel sei es, die europäischen Werte der Freiheit und Demokratie zu fördern und dafür zu sorgen, dass die digitale Wirtschaft auf sicherer Grundlage weiterwachsen kann.

Vorgesehen sind konkrete Maßnahmen zur Erhöhung der Widerstandsfähigkeit der Informationssysteme im Cyberraum, zur Eindämmung der Cyberkriminalität und zur Stärkung der internationalen Cybersicherheitspolitik und Cyberverteidigung der EU. Jedes Land soll beispielsweise ein nationales Zentrum für Cybersicherheit aufbauen und mit anderen Mitgliedsstaaten kooperieren. Generell will die EU den Informationsaustausch stärken und gemeinsame Abwehrmaßnahmen koordinieren. Das dafür zuständige European Cybercrime Centre in Den Haag hatte erst Anfang Januar offiziell seine Arbeit aufgenommen.

Die vorgeschlagene NIS-Richtlinie ist der Kommission zufolge ein wichtiger Teil der Gesamtstrategie. Sie sieht für alle Mitgliedstaaten, aber auch für die Betreiber zentraler Internetdienste und kritischer Infrastrukturen sowie für die Betreiber von Energie-, Verkehrs-, Bank- und Gesundheitsdiensten eine Meldeplficht vor. Zu den Internetdiensten zählt die Kommission Cloud-Provider, soziale Netze, E-Commerce-Plattformen, App Stores und Suchmaschinen. Öffentliche Verwaltungen und Unternehmen sollen Risikomanagementmethoden einführen und den nationalen Behörden große Sicherheitsvorfälle in ihren Kerndiensten melden.

„Die Strategie betont unsere konkreten Maßnahmen zur drastischen Eindämmung der Cyberkriminalität. In vielen EU-Ländern fehlt das notwendige Instrumentarium, um organisierte Cyberkriminalität verfolgen und bekämpfen zu können“, sagte Cecilia Malmström, EU-Kommissarin für Inneres. „Alle Mitgliedstaaten sollten daher nationale Stellen einrichten, die wirksam gegen Cyberstraftaten vorgehen. Diese können vom Sachverstand und der Unterstützung des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) profitieren.“

In Deutschland ist bereits jetzt auf höchster Regierungsebene ein Streit über die Meldepflicht ausgebrochen. Hierzulande gibt es schon seit 2011 ein nationales Cyber-Abwehrzentrum. Bundesinnenminister Hans-Peter Friedrich (CSU) hat zudem bereits vor einiger Zeit einen Gesetzentwurf für eine Meldepflicht für Firmen vorgelegt. Darüber hinaus will er Unternehmen verpflichten, Sicherheitssysteme aufzubauen, die dann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgenommen werden. Das Bundeswirtschaftsministerium will nach Informationen der Nachrichtenagentur Reuters die geplante Meldepflicht aber verhindern. Dort fürchte man erhebliche Belastungen für die deutsche Wirtschaft. Zudem sehe man in dem FDP-geführten Ministerium in vielen Branchen, die von dem Gesetz betroffen wären, keinen Handlungsbedarf, etwa im Energiesektor oder der IT-Branche.

Auch der Hightech-Verband Bitkom lehnt weitere Meldepflichten für Internetunternehmen ab, auch wenn er die neue EU-Strategie im Grundsatz begrüßt. „Gesetzliche Meldepflichten für größere IT-Sicherheitsvorfälle sollten sich auf die Betreiber kritischer Infrastrukturen beschränken“, sagte Bitkom-Präsident Dieter Kempf. In Deutschland sei das bereits für Telekommunikationsnetze gesetzlich geregelt. „Eine Ausweitung der Meldepflichten auf andere Internetunternehmen ist nicht verhältnismäßig. Eine vorübergehende Unterbrechung bestimmter Online-Dienste ist nicht mit Angriffen auf Telekommunikationsnetze, Verkehrswege oder die Energieversorgung zu vergleichen.“

Statt für eine allgemeine Meldepflicht spricht sich der Bitkom für freiwillige Meldungen von Unternehmen aus, die auf Wunsch auch anonym abgegeben werden können. Ein entsprechendes Meldesystem für Sicherheitsvorfälle habe die ITK-Branche in Deutschland in Zusammenarbeit mit dem BSI bereits etabliert und sei damit international Vorreiter.

Viele Sicherheitsexperten fodern jedoch schon seit Jahren eine Meldepflicht, auch wenn Firmen oft um ihre Betriebsgeheimnisse, vertrauliche Daten und nicht zuletzt ihr Image fürchten.

[mit Material von Sibylle Gaßner, silicon.de]

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago