Cyberkriminalität EU will hohe Strafen für Schlamperei bei IT-Sicherheit

Nach kaum noch zu zählenden Einbrüchen in IT-Netzwerke von Firmen und Behörden will die Europäische Union nun endlich handeln. Morgen soll der Innenausschuss des Europaparlaments über Strafen bei fehlender IT-Security abstimmen.

Die Europäische Union will verbindliche Standards der IT-Sicherheit für die Privatwirtschaft vorschreiben. Nach Informationen der Tageszeitung Die Welt sollen Firmen, die keinen angemessenen Schutz für ihnen anvertraute Daten gewährleisten, "abschreckende Sanktionen" und "strafrechtliche" Konsequenzen drohen. Das steht in einem fraktionsübergreifenden Textvorschlag, den der Innenausschuss des Europaparlaments demnach am 27. März 2012 beschließen wird.

"Als Anhaltspunkt können bis zu maximal zwei Prozent des Jahresumsatzes dienen, so wie es im Vorschlag zur Datenschutzrichtlinie vorgesehen ist", sagte die EU-Abgeordnete Monika Hohlmeier (CSU) der Welt.

Firmen, die Opfer von Cyberkriminalität geworden sind, sollen dies bei der Polizei anzeigen müssen und mit den Behörden zusammenarbeiten. "Mitgliedstaaten sollen eine Liste möglicher Fälle definieren, bei denen die Verweigerung der Zusammenarbeit selbst kriminelles Verhalten darstellt", heißt es in dem Text.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte auf dem Internetkongress des CDU-Wirtschaftsrats an die Wirtschaft und ihre Verbände appelliert, bei Einbrüchen in die IT-Infrastruktur endlich einen Single Point of Contact zu schaffen, um schnell reagieren zu können. Die Vizepräsidentin der EU-Kommission, Viviane Reding, sagte dort, strenge Datenschutzgesetze seien nötig, "sonst werden die Menschen ihre Daten für sich behalten, und dann kann die Wirtschaft nicht mehr funktionieren."

Neues Konzept: Schützen einzelner Datenbereiche durch Verschlüsselung

Statt breit gestreuter Angriffe handele es sich immer öfter um gezielte Attacken auf ganz bestimmte IT-Netzbereiche. Nicht selten blieben diese Aktivitäten lange Zeit unentdeckt, beziehungsweise seien für die Attackierten kaum nachvollziehbar. Konventionelle Sicherheitsvorkehrungen wie Firewalls, Virenscanner, regelmäßige Patches und Backups böten gegen diese Bedrohung meist keinen Schutz mehr. In vielen deutschen Unternehmen würde dies nach wie vor nur unangemessen berücksichtigt.

Um Sicherheitsbedrohungen künftig angemessen begegnen zu können, forderten Experten daher die Abkehr vom bisherigen System- und Geräteansatz. "Das Schützen ganzer Netze ist nicht zukunftstauglich", erklärte Thorsten Krüger, Director Regional Sales bei Safenet, der IT-Wochenzeitung Computerwoche. Der Schutz einzelner Informationen müsse in den Mittelpunkt rücken, etwa durch spezielle Datenverschlüsselungen. Auch Symantec-Vice-President Andreas Zeitler betonte, dass nur so eine wirkungsvolle Abwehr professioneller Hackerangriffe überhaupt noch möglich sei.