Gegen Hacker und Cyberattacken: Brüssel und Berlin arbeiten zeitgleich an der IT-Sicherheit

Terroristen hacken sich in Sicherheitssysteme, öffnen mit wenigen Klicks einen Staudamm, schalten Krankenhäusern den Strom ab, räumen Konten leer oder lassen Bahnsignale verrückt spielen. So oder so ähnlich sehen die Horrorszenarien aus, die in Europa nie passieren sollen. Doch digital gesteuerte Systeme können digital attackiert werden. Um solche Hackerangriffe zu verhindern und im Notfall schnell reagieren zu können, werden sowohl in Brüssel als auch in Berlin gerade verbindliche Regeln für Unternehmen festgelegt.

In Brüssel geht die Richtlinie mit dem langen Namen „Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der EU“ in den kommenden Monaten in die Trilog-Verhandlungen zwischen Rat, Kommission und Parlament. In Berlin hat das Innenministerium Mitte August den Entwurf eines „IT-Sicherheitsgesetzes“ vorgelegt, das viele der europäischen Regelungen bereits vorwegnehmen soll. Beide Vorhaben wollen auf unterschiedlichen Ebenen dasselbe: Betreiber sogenannter kritischer Infrastruktur, wie zum Beispiel Wasserwerke, Banken oder Krankenhäuser, sollen künftig Cyber-Angriffe direkt den Behörden melden müssen. Die IT-Sicherheitsstandards sollen zudem verpflichtend erhöht werden.

Aber welche Unternehmen zählen nun genau zur kritischen Infrastruktur? Wer muss welche Vorfälle verpflichtend melden? Was ist sinnvoller Schutz, was überzogen? Wie kann ein Imageschaden für die betroffenen Unternehmen verhindert werden? Und wie kann ein europäischer Austausch über nationale Sicherheitsprobleme aussehen? All diese Fragen sind noch nicht geklärt und werden in Brüssel wie in Berlin kontrovers diskutiert.

Deutschland unter den "Top Five" in Europa

Zunächst Berlin: Am 19. August präsentierte Innenminister Thomas de Maizière im Rahmen der Digitalen Agenda einen Entwurf für ein IT-Sicherheitsgesetz. Es schreibt unter anderem Mindeststandards vor und führt Meldepflichten bei erheblichen IT-Sicherheitsvorfällen ein. Alle Meldungen sollen zentral im Bundesamt für Sicherheit und Informationstechnik (BSI) registriert und bearbeitet werden. Bisher sind solche Meldungen freiwillig, viele Unternehmen schrecken davor zurück, weil sie fürchten, ihren Ruf zu beschädigen.

Wie die Meldepflichten und Standards im Detail aussehen und für wen genau sie gelten sollen, das will de Maizière nach einem intensiven Dialog mit der Wirtschaft festlegen. Die Industrie, vertreten zum Beispiel durch den Verband der Energie- und Wasserwirtschaft (BDEW) oder den Bundesverband Deutscher Banken, haben bereits generelle Zustimmung signalisiert. Allerdings fordert BDEW-Hauptgeschäftsführerin Hildegard Müller, dass die Unternehmen, für die die Meldepflicht gelten soll, „transparent, nachvollziehbar und mit Augenmaß definiert werden“.

Der Gesetzentwurf des Innenministeriums, der jetzt im Kabinett abgestimmt wird, dient auch als deutsche Leitlinie für die Verhandlungen im Europäischen Rat. Die Idee: Je gefestigter die deutsche Haltung, umso größer die Chancen, sich innerhalb der 28 verschiedenen Nationalinteressen durchzusetzen. Da Deutschland in Punkto IT-Sicherheit zu den „Top Five“ in Europa gehört, wird de Maizière versuchen, die Standards auch europaweit hoch anzusetzen. Denn ein Vorfall in einem anderen Staat kann bei eng vernetzten Branchen, wie zum Beispiel bei Banken, auch schnell zum europaweiten oder globalen Problem werden. Andere EU-Staaten fürchten dagegen eine teure Nachrüstung für ihre Unternehmen. Die Kommission rechnet in ihrem Vorschlag mit Kosten für eine neue Infrastruktur von europaweit rund zehn Millionen Euro pro Jahr.

Meldepflicht auch für soziale Netzwerke wie Facebook und Twitter

Die Kommission hat ihren Richtlinienentwurf bereits 2013 vorgelegt. Sie deckt sich schon jetzt in großen Teilen mit dem Berliner Entwurf. Allerdings geht sie speziell bei der Definition, was denn zur kritischen Infrastruktur zählen soll, deutlich weiter. So fordert die Kommission beispielsweise, auch soziale Netzwerke wie Facebook und Twitter in die Meldepflichten einzubinden, außerdem die öffentliche Verwaltung. In diesen Punkten hat bereits das EU-Parlament protestiert, das in den Trilog-Verhandlungen mit am Tisch sitzen wird. Es will diese Bereiche aus der Richtlinie streichen. Das entspricht auch der deutschen Haltung.

Der Rat feilt noch an seiner gemeinsamen Position für die Verhandlungen zwischen den drei Institutionen, hier bringt Deutschland seine Ansichten ein. Ein entscheidender Punkt könnte Unmut bei den Staatschefs erzeugen: Der Richtlinienentwurf der Kommissarin für Digitale Infrastruktur, Neelie Kroes, sieht eine europaweite Kooperation vor, die von der Kommission gesteuert werden soll. Doch obwohl der europaweite Austausch bei Cyber-Attacken auch von den betroffenen Unternehmen als wichtig eingestuft wird, ist unklar, wie offen sich die Staaten tatsächlich über Probleme der nationalen Sicherheit miteinander austauschen wollen – und ob sie zulassen, dass die Kommission die Gespräche steuert. Der von der Kommissarin geforderte nationale Ansprechpartner für die EU ist dagegen aus deutscher Sicht kein Problem: Diese Rolle wird das BSI übernehmen.

Schon jetzt zeichnet sich ab, dass die EU-Richtlinie vor allem Mindeststandards vorschreiben wird. Wenn die zuvor genannten heiklen Punkte geklärt sind, werden die Deutschen bei der Umsetzung keine großen Probleme haben. Für die Definition der kritischen Infrastruktur wird die EU wohl nur grobe Sektoren wie Strom, Transport, Wasser, Energie bestimmen. Die EU-Staaten sind dann frei, die konkrete Liste der Unternehmen selbst festzulegen. Ein besonders umstrittener Punkt wird daher auf nationaler Ebene geklärt werden: In welchem Ausmaß sollen die Sicherheitsvorfälle nicht nur dem BSI gemeldet, sondern auch veröffentlicht werden? Das liegt laut Richtlinie in der Hand der zuständigen Behörde.

Dieser Text erschien in der "Agenda" vom 30. September 2014 - einer neuen Publikation des Tagesspiegels, die jeden Dienstag erscheint. Die aktuelle Ausgabe können Sie im E-Paper des Tagesspiegels lesen.

Ein Abonnement des Tagesspiegels können Sie hier bestellen: