Kritik an der EU-Meldepflicht für Cyberattacken

Der Vorschlag der EU-Kommission, eine Meldepflicht für Hackerattacken einzuführen, stößt auf wenig Gegenliebe. Nach dem Willen der EU-Kommission sollen künftig Betreiber “kritischer Infrastrukturen”, also etwa Finanzdienste, Verkehr, Energie oder Gesundheitswesen aber auch die Betreiber von App-Stores, sozialen Netzwerken oder E-Commerce verpflichtet werden, Hackerattacken zu melden.

Doch in Deutschland hatte schon der Branchenverband Bitkom eine solche Meldepflicht abgelehnt. Die Unternehmen fürchten zudem einen Imageverlust, wenn sie einen Hackerangriff melden.

Jetzt schaltet sich auch die “Gesellschaft für Informatik” (GI) in die Diskussion ein. Deren Präsidiumsarbeitskreis Präsidiumsarbeitskreis “Datenschutz und IT-Sicherheit” hält die geplante Regelung nicht für ausreichend, diese greife vielmehr zu kurz und könne Unternehmen und Bürger nicht “dauerhaft vor Angriffen schützen”.

Sicherheitslücken veröffentlichen

Die GI verweist in ihrer Mitteilung zunächst auf die gestiegenen Risiken beispielsweise durch Sicherheitslücken in der Software oder Diebstahl von Kreditkartennummern und Passwörtern. So hatte René Obermann, Vorstandsvorsitzender der Telekom, erst kürzlich eingeräumt, dass die Telekom täglich bis zu 400.000 Angriffe abzuwehren habe.

Nach Auffassung der GI reicht das bloße Melden von Angriffen nicht. Gemeldet werden müssten vielmehr die entdeckten Sicherheitslücken. Diese müssten auch veröffentlicht werden, so dass andere Nutzer oder Internetanbieter die Möglichkeit hätten, auf die Sicherheitslücke zu reagieren.

Doch auch gegen solche Vorschläge wenden sich viele Experten, die befürchten, eine veröffentlichte Sicherheitslücke würde Cyberkriminelle in Scharen anlocken. Sicher ist derzeit nur, dass die EU-Kommission den Vorschlag nicht einfach fallen lassen wird, sondern das Thema weiter verfolgen wird.

(Bildnachweis kleines Bild: Gerd Altmann/pixelio.de)