Ledinger: „Meldepflicht allein ist nicht genug“

Der Vorschlag der EU-Kommission zur Netz- und Informationssicherheit beinhaltet unter anderem eine Meldepflicht. Diese soll mit wirtschaftlichen Interessen abgewogen werden. Die COMPUTERWELT sprach mit dem Leiter von GovCERT, Roland Ledinger. [...]

Die Europäische Kommission hat am 7. Februar 2013 den Vorschlag für eine Richtlinie zur Netz- und Informations­sicherheit (NIS) veröffentlicht. Der Leitgedanke: Cyberangriffen und -kriminalität kann man nur durch gemeinsames Vorgehen und Vernetzung der Akteure wirksam begegnen. Laut Roland Ledinger, Leiter des Government Computer Emergency Response Team (GovCERT), soll die künftige Cyberstrategie auf drei Säulen aufbauen; Dem klassischen Bereich der IKT-Sicherheit, wo auch die CERT-Strukturen verankert sind, zweitens auf der Strafverfolgung (Cybercrime) und drittens dem militärischen Bereich der Verteidigung (Cyber­defence). Die klare Trennung vor allem zwischen dem ersten und zweiten Bereich ist mit Bedacht gewählt: Verstöße gegen die IT-Security sollen nicht automatisch in der Strafverfolgung enden und damit der Öffentlichkeit preisgegeben werden. Dies hilft sensiblen Bereichen wie etwa dem Bankensektor: Die Veröffentlichung von Vorfällen kann hier schnell zu Vertrauensverlust und einem massiven Imageschaden führen.

Um dieser Situation Rechnung zu tragen und gleichzeitig den notwendigen rechtlichen Rahmen zu schaffen, beinhaltet die NIS-Richtlinie eine Meldepflicht – diese allerdings mit Einschränkungen: „Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann“, so der entsprechende NIS-Wortlaut.

Dazu kommt, dass die Meldepflicht erst ab einem gewissen Schwellenwert schlagend werden wird, mit der Gefahr, dass unterschwellige Vorfälle nicht bekannt werden und dass damit Bedrohungen, die erst gerade im Entstehen sind, ausgeklammert bleiben. „Die Meldepflicht allein ist nicht genug“, sagt Roland Ledinger gegenüber der COMPUTERWELT. „Was wir brauchen, ist eine vertrauenswürdige Umgebung zum Teilen der Information.“ Auch hier steht der Bankenbereich Pate: „Der Finanzsektor hat sich schon immer getroffen, um Informationen diskret auszutauschen und gemeinsame Lösungen zu suchen.“ Was vertrauenswürdig in diesem Zusammenhang bedeuten kann, illustriert Ledinger folgendermaßen: „Wir als GovCERT haben Vertreter des Banksektors eingeladen, um unsere Organisation und unsere Informationen bereitzustellen. Die Skepsis war zu Beginn groß. Nachdem wir aber angeboten haben, den Sitzungssaal auf Wunsch zu verlassen oder bereit waren, die gestellten Bedingung zu erfüllen, nicht die Strafverfolgung einzubinden, war das Vertrauen da.“

Nach diesem Muster plant das GovCERT das Netzwerk auszubauen, indem es die Vertreter eines Sektors an einen Tisch holt und die hier gewonnenen Erkenntnisse koordiniert. Das Team ist gerade dabei, den Gesundheitsbereich anzugehen. „Wenn das vertrauenswürdige Netzwerk funktioniert, dann spielt die Meldepflicht nur mehr eine sekundäre Rolle“, so Roland Ledinger abschließend. (su)


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*