Imageverlust: IT-Mittelstand gegen Meldepflicht bei IT-Angriffen

Der Bundesverband IT-Mittelstand (Bitmi) ist entschieden gegen den Plan von EU-Kommissarin Neelie Kroes, IT-Angriffe meldepflichtig zu machen. Die New York Times hatte berichtet, dass dazu eine EU-Richtlinie vorbereitet werde.

Die zurzeit auf EU-Ebene anvisierte Meldepflicht der Unternehmen bei IT-Angriffen geht an der eigentlichen Problemlage vorbei, erklärte Bitmi-Präsident Oliver Grün. "Denn aus einer zentralen Registrierung der IT-Angriffe auf Unternehmen folgen noch keine funktionierenden Problemlösungen. Diese müssen bei den Stake-Holdern selbst gefunden werden." Der Hackerbereich sei von schnellen Entwicklungen gekennzeichnet, "äußerst agil und diffizil, so dass eine Behördenlösung hier nicht Schritt halten würde", sagte Grün. "Statt Geld für eine behördliche Regelung auszugeben, sollte es zur Organisation der Selbstregulierung zur Verfügung gestellt werden, damit angemessene Lösungen entwickelt werden können."

Doch Kroes hatte argumentiert, dass Cybersecurity zu wichtig sei, um sie dem Zufall zu überlassen und auf den guten Willen der einzelnen Unternehmen zu vertrauen. Im Jahr 2012 wurde immer wieder von erfolgreichen Angriffen auf Kundendatenbanken berichtet. Kroes: "Sicherheitsprobleme in Netzwerken können jeden betreffen, weshalb es eindeutig ein öffentliches Interesse gibt." Bundesverbraucherschutzministerin Ilse Aigner (CSU) kritisierte Unternehmen für die Vernachlässigung der IT-Sicherheit, durch die viele Angriffe erst möglich würden.

Verbandssprecherin Anja Nolte sagte Golem.de: "Wir glauben eben nicht, dass eine Behördenlösung im Kundeninteresse ist: Eine Meldepflicht einer Behörde gegenüber stellt auch nicht sicher, dass die Kunden informiert werden. Das liegt in der Verantwortung der Unternehmen und hängt zudem sehr vom jeweiligen Sachverhalt ab, der kaum in einem Gesetz zu fassen ist. Natürlich sollte der Kunde informiert werden, wenn seine Daten betroffen sind, aber die Verunsicherung der Kunden, wenn jeder Angriff - auch wirkungslose - gemeldet werden müsste, wäre enorm groß. Erfolglose Hackerangriffe passieren täglich zu Tausenden - eine Meldepflicht wäre da kaum zu realisieren." Die Lösung des Problems sei bei der Industrie selbst zu finden. Im Präsidium des Bitmi sind das Cyberforum oder der Providerverband Eco vertreten.

"Die Unternehmen befürchten vor allem einen Imageschaden und sind verunsichert, welchen Umfang eine Meldepflicht haben würde. Außerdem ist unklar, was zu einem meldepflichtigen Hackerangriff zählt - auch jene, die erfolglos sind? " Der Bitmi vertritt, dass eine Meldepflicht noch keine Probleme löst, sondern zunächst nur erhöhten bürokratischen Aufwand erzeugt.