Deutsche Unternehmen melden Hacker-Angriffe viel zu selten an die Behörden. Dies ist zumindest die Auffassung des Bundesinnenministeriums. Diese Situation ist jedoch unbefriedigend, denn dadurch fehlt es den politischen Entscheidungsträger an Informationen, um das Ausmaß der aktuellen Bedrohungen durch Cyber-Attacken richtig einschätzen zu können.

Aus diesem Grund plant man in der Bundesregierung nun ein neues IT-Sicherheitsgesetz 2.0, das zusätzliche Meldepflichten vorsieht.

Inhalt

Meldepflichten für Hacker-Attacken gibt es bereits seit der Erstauflage des IT-Sicherheitsgesetzes aus dem Jahr 2015. Dieses Gesetz zielt bislang allerdings ausschließlich auf die Betreiber sicherheitsrelevanter Infrastrukturen, wie beispielsweise Energieversorger, Telekommunikationsanbieter, Internet-Provider oder auch Banken. Unternehmen aus diesen Branchen müssen seitdem nicht nur Mindeststandards im Bereich der IT-Sicherheit einhalten, die dem aktuellen Stand der Technik entsprechen, sondern auch relevante Hackerangriffe an die Behörden melden.

Ausweitung der Meldepflicht

Nach Ansicht der Bundesregierung reicht diese Beschränkung der Meldepflicht jedoch angesichts der immer weiterwachsenden Vernetzung nicht mehr aus. Um einen möglichst vollständigen Überblick über die aktuelle Gefährdungslage zu bekommen, benötigten die Sicherheitsbehörden umfassendere Informationen über die Cyber-Angriffe. Erst auf dieser Grundlage könne ein realistisches Lagebild erstellt werden. Um dies zu erreichen müsse daher der Kreis der meldepflichtigen Unternehmen ausgeweitet werden.

Bislang melden Unternehmen aus anderen, nicht sicherheitsrelevanten Branchen auf freiwilliger Basis Hacker-Angriffe viel zu selten. Den hauptsächlichen Grund für diese Zurückhaltung vermutet der Parlamentarische Staatssekretär im Bundesinnenministerium, Günter Krings, in der Sorge vor Imageschäden beim Bekanntwerden derartiger Vorfälle.

Der Staatssekretär sprach auf der Wirtschaftsschutzkonferenz 2018 der Initiative Wirtschaftsschutz in Berlin, wo er auch das neue Gesetzesvorhaben ankündigte, mit dem dieser Missstand behoben werden soll.

IT-Sicherheitsgesetz 2.0

  • Demnach will die Bundesregierung noch in dieser Legislaturperiode ein IT-Sicherheitsgesetz 2.0 verabschieden, das erweiterte Meldepflichten bei schwerwiegenden Sicherheitsvorfällen für einen deutlich größeren Unternehmenskreis als bislang festschreiben wird.
  • Weitere Details zu dem geplanten Gesetzesvorhaben gibt es bislang noch nicht.
  • Vertreter der Wirtschaft wiesen allerdings darauf hin, dass die zusätzlichen Meldepflichten für Unternehmen nur dann akzeptabel seien, wenn diese im Gegenzug auch davon profitieren könnten, sei es etwa durch konkrete Hilfestellungen oder eine Unterstützung bei Präventionsmaßnahmen.