Bitkom kritisiert Richtlinie zur Netz- und Informationssicherheit

Meldepflicht für Sicherheitsvorfälle überzogen?

| Autor / Redakteur: Katrin Hofmann, Stephan Augsten / Stephan Augsten

Eine gesetzliche Meldepflicht für Internet-Unternehmen jeder Art ist übertrieben, meint der Bitkom.
Eine gesetzliche Meldepflicht für Internet-Unternehmen jeder Art ist übertrieben, meint der Bitkom. (Bild: arlos-castilla - Fotolia.com)

„Zentrale Internetunternehmen“ sollen IT-Sicherheitsvorfälle künftig an die Behörden melden, wenn es nach der EU-Kommission geht. Der Bitkom-Verband hält diese Ausweitung der Meldepflicht angesichts des bürokratischen Aufwands jedoch für unverhältnismäßig.

Vor dem Hintergrund einer neuen Cyber-Sicherheitsstrategie hatte die Europäische Kommission (EU-Kommission) am Donnerstag, 7. Februar 2013, eine Richtlinie vorgelegt, die auf ein „offenes, freies und chancenreiches Internet“ zielt. Demnach müssten selbst TK-Unternehmen und andere Online-Dienste Sicherheitsvorfälle publik machen.

Dem Vorschlag zufolge sollen „Betreiber kritischer Infrastrukturen in bestimmten Bereichen, Betreiber zentraler Dienste der Informationsgesellschaft und öffentliche Verwaltungen Risikomanagement-Methoden einführen und große Sicherheitsvorfälle in ihren Kerndiensten melden“. Jeder EU-Mitgliedstaat solle sich der „Richtlinie zur Netz- und Informationssicherheit (NIS)“ unterwerfen und eine entsprechende Behörde aufbauen, die präventiv gegen NIS-Risiken vorgeht und imstande ist, den nötigen Umgang mit gemeldeten Vorfällen einzuleiten beziehungsweise die Reaktion darauf zu benennen.

Damit schert die EU-Kommission Finanzdienste, Verkehr, Energie, Gesundheitswesen, App-Stores, E-Commerce-Plattformen, Internetz-Bezahldienste, Cloud Services, Suchmaschinen oder auch soziale Netze über einen Kamm. Wenn es nach Prof. Dieter Kempf ginge, sollte sich die gesetzliche Meldepflicht für größere IT-Sicherheitsvorfälle aber auf die Betreiber kritischer Infrastrukturen beschränken.

Meldung bereits auf anderem Wege möglich

„Für die Anbieter gängiger Internetdienste ist eine Meldepflicht nicht gerechtfertigt,“ betonte der Bitkom-Präsident am Freitag. Eine vorübergehende Unterbrechung bestimmter Online-Dienste sei nicht mit Angriffen auf TK-Netze, Verkehrswege oder die Energieversorgung zu vergleichen, wendet Kempf ein.

Neben dem bürokratischen Aufwand, der damit auf ITK-Firmen zukommen könnte, fürchteten viele der Betriebe Imageschäden, wenn Sicherheitsvorfälle öffentlich bekannt werden. Zudem bestehe dann die Gefahr, dass Nachahmer auf den Plan gerufen werden.

Kempf verweist zudem auf das etablierte, anonyme Meldesystem für IT-Attacken, das die ITK-Branche in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betreibt: „Wenn man schnell ein umfangreiches Lagebild zur Cyberkriminalität bekommen will, sind freiwillige Meldungen sehr vieler Unternehmen, die auf Wunsch auch anonym abgegeben werden können, deutlich sinnvoller“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38006640 / Sicherheitsvorfälle)