Der Vorschlag der EU-Kommission zur Netz- und Informationssicherheit beinhaltet unter anderem eine Meldepflicht. Diese soll mit wirtschaftlichen Interessen abgewogen werden. Die COMPUTERWELT sprach mit dem Leiter von GovCERT, Roland Ledinger. [...]
Die Europäische Kommission hat am 7. Februar 2013 den Vorschlag für eine Richtlinie zur Netz- und Informationssicherheit (NIS) veröffentlicht. Der Leitgedanke: Cyberangriffen und -kriminalität kann man nur durch gemeinsames Vorgehen und Vernetzung der Akteure wirksam begegnen. Laut Roland Ledinger, Leiter des Government Computer Emergency Response Team (GovCERT), soll die künftige Cyberstrategie auf drei Säulen aufbauen; Dem klassischen Bereich der IKT-Sicherheit, wo auch die CERT-Strukturen verankert sind, zweitens auf der Strafverfolgung (Cybercrime) und drittens dem militärischen Bereich der Verteidigung (Cyberdefence). Die klare Trennung vor allem zwischen dem ersten und zweiten Bereich ist mit Bedacht gewählt: Verstöße gegen die IT-Security sollen nicht automatisch in der Strafverfolgung enden und damit der Öffentlichkeit preisgegeben werden. Dies hilft sensiblen Bereichen wie etwa dem Bankensektor: Die Veröffentlichung von Vorfällen kann hier schnell zu Vertrauensverlust und einem massiven Imageschaden führen.
Um dieser Situation Rechnung zu tragen und gleichzeitig den notwendigen rechtlichen Rahmen zu schaffen, beinhaltet die NIS-Richtlinie eine Meldepflicht – diese allerdings mit Einschränkungen: „Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann“, so der entsprechende NIS-Wortlaut.
Dazu kommt, dass die Meldepflicht erst ab einem gewissen Schwellenwert schlagend werden wird, mit der Gefahr, dass unterschwellige Vorfälle nicht bekannt werden und dass damit Bedrohungen, die erst gerade im Entstehen sind, ausgeklammert bleiben. „Die Meldepflicht allein ist nicht genug“, sagt Roland Ledinger gegenüber der COMPUTERWELT. „Was wir brauchen, ist eine vertrauenswürdige Umgebung zum Teilen der Information.“ Auch hier steht der Bankenbereich Pate: „Der Finanzsektor hat sich schon immer getroffen, um Informationen diskret auszutauschen und gemeinsame Lösungen zu suchen.“ Was vertrauenswürdig in diesem Zusammenhang bedeuten kann, illustriert Ledinger folgendermaßen: „Wir als GovCERT haben Vertreter des Banksektors eingeladen, um unsere Organisation und unsere Informationen bereitzustellen. Die Skepsis war zu Beginn groß. Nachdem wir aber angeboten haben, den Sitzungssaal auf Wunsch zu verlassen oder bereit waren, die gestellten Bedingung zu erfüllen, nicht die Strafverfolgung einzubinden, war das Vertrauen da.“
Nach diesem Muster plant das GovCERT das Netzwerk auszubauen, indem es die Vertreter eines Sektors an einen Tisch holt und die hier gewonnenen Erkenntnisse koordiniert. Das Team ist gerade dabei, den Gesundheitsbereich anzugehen. „Wenn das vertrauenswürdige Netzwerk funktioniert, dann spielt die Meldepflicht nur mehr eine sekundäre Rolle“, so Roland Ledinger abschließend. (su)
Be the first to comment