Das Thema Cybersecurity hat in den vergangenen Monaten eine bemerkenswerte Karriere gemacht.Was bis vor kurzem lediglich IT-Abteilungen interessierte, ist heute ein Thema in den Vorstandsetagen von Telekommunikationsfirmen, Energieversorgern, Finanzdienstleistern, Gesundsheitskonzernen und E-Commerce-Firmen. Die Wirtschaftsprüfer von KPMG schätzen, dass alleine in Deutschland ein jährlicher Schaden von 43 Milliarden Euro durch Cyber-Kriminalität entsteht.
Warum IT-Sicherheit zunehmend in den Fokus von Unternehmen – und Regierungen – rückt, zeigt das Beispiel des gehackten Twitter-Accounts von AP. Via Twitter vermeldete die Nachrichtenagentur im April einen Anschlag auf das Weiße Haus, bei dem angeblich US-Präsident Obama verletzt worden sei. Der Dow Jones sackte daraufhin umgehend ab und verlor 134 Milliarden Dollar an Wert bevor klar wurde, dass Obama wohlauf und lediglich der Account der Agentur gehackt wurde.
Um Cyberkriminalität in Europa koordiniert und effizient zu bekämpfen, hat die EU-Kommission Anfang des Jahres einen Entwurf für eine neue Richtline vorgestellt. Kern der Vorschläge ist eine Meldepflicht für Cyberangriffe, wie sie in der Telekommunikationsbranche bereits existiert. Auch das Bundesinneministerium hat im März den Entwurf für ein neues IT-Sicherheitsgesetz verschickt, das ebenfalls Meldepflichten vorsieht. Der nahende Bundestagswahlkampf hat das Gesetz vorerst gestoppt, spätestens in der nächsten Legislaturperiode müssen Unternehmen allerdings mit einem neuen Anlauf rechnen: sowohl CDU als auch SPD sprechen sich in ihren Wahlprogrammen für einen besseren Schutz vor Cyberangriffen aus.
Die Bundesregierung kann ihr Gesetz dank der Verzögerung besser mit der parallel laufenden EU-Gesetzgebung verzahnen. Der Bericht des zuständigen EU-Parlamentsausschusses aus der Feder von Andreas Schwab (CDU) wird noch im Herbst diesen Jahres erwartet. Die Regierung wird zudem versuchen, den Druck auf die anderen EU-Mitgliedsstaaten zu erhöhen, indem sie mit einem nationalen Gesetz vorangeht, denn auf europäischer Ebene sind nicht alle Länder gleichermaßen von der Richtlinie begeistert. Unter anderem besteht Unsicherheit darüber, wie der Schutz der Privatsphäre durch die geplante EU-Datenschutzverordnung mit den Meldepflichten im Rahmen der Cybersecurity-Richtlinie in Einklang zu bringen ist.
Die Politik gewinnt nun aber auch Zeit, sich genauer mit der Frage zu befassen, welche Unternehmen eigentlich unter die neuen Gesetze fallen sollen. Hinter dieser Frage versteckt sich einer der strittigsten Punkte des geplanten Gesetzes – auch im Vergleich zu den Vereinigten Staaten, die selber vor kurzem ein Cybersecurity-Gesetz verabschiedet haben und die derzeit mit der EU über ein Freihandelsabkommen beraten, dass auch den IKT-Sektor umfassen soll.
Während die USA den Begriff “kritische Infrastruktur” eng definieren, fallen in den Augen vieler europäischer und deutscher Politiker auch großen E-Commerce-Seiten und Internetportale unter diese Definition, insofern sie zum Beispiel Kreditkartendaten oder persönliche Informationen speichern. Peer Steinbrücks Schattenverbraucherministerin Brigitte Zypries etwa ist eine Verfechterin enger Schutzrichtlinien im digitalen Raum. Das “digitale Immunsystem” soll auch den normalen Internetnutzer so gut wie möglich schützen und so das Vertrauen ins Netz stärken.
Der Verzicht auf eine Meldepflicht zugunsten einer freiwilligen Meldung von Cyberangriffen, wie der Internetverband BITKOM fordert, findet hingegen nur wenige Unterstützer in der Politik. Zuletzt ist Bundesinnenminister Friedrich in Brüssel auch mit dem Versuch gescheitert, das Prinzip der freiwilligen Selbstkontrolle im Datenschutz auf EU-Ebene zu verankern. Nachdem die EU-Kommission die Mitgliedsstaaten in den vergangenen Jahren vergeblich aufgefordert hatte, ihre IT-Sicherheitskapazitäten zu erhöhen, will sie sich diesmal nicht länger auf Selbstverpflichtungen einlassen.
Foto: Mikael Altemark, Lizenz: CC BY 2.0
Anmerkung: Dieser Blogpost ist zuerst am 21. November 2012 bei berlin+ erschienen, dem Politikblog der Public-Affairs-Bratung g+ germany. Wenn Sie berlin+ abonnieren und regelmäßig E-Mails mit aktuellen Beiträgen zur deutschen und europäischen Politik und Wirtschaft bekommen wollen klicken Sie bitte hier.