13:59 15 Juli 2020
SNA Radio
    Panorama
    Zum Kurzlink
    1241
    Abonnieren

    Nach jetziger Gesetzeslage müssen Schweizer Unternehmen keine Cyberangriffe bei Behörden melden. Dies erschwert die Bestimmung konkreter Zahlen von Versuchen, Übergriffen und Opfern von Cyberattacken. Der Cyberbeauftragte des Bundes bestätigt nun die Erstellung eines Entwurfs einer Meldepflicht für kritische Infrastrukturen, die gehackt wurden.

    Bisher sind Unternehmen in der Schweiz nicht gezwungen, Cyberattacken zu melden. Nach jetzigem Stand steht es den Unternehmern freiwillig zu, die Melde- und Analysestelle für Informationssicherung (MELANI) des Bundes über den Vorfall zu informieren. Mit einer Meldepflicht soll dem entgegengewirkt werden. Denn die aktuelle Gesetzeslage sorgt für eine riesige Dunkelziffer und hindert den Bund, stärker gegen derartige Angriffe vorzugehen.

    Bis zum Ende des Jahres soll eine Vorlage mit „Eckwerten“ für eine Meldepflicht von Cyberattacken entstehen, schreibt das schweizer Tagesblatt „Neue Zürcher Zeitung“ (NZZ). Dies hat die Schweizer Regierung dem Cyberdelegierten des Bundes und dem Bundesamt für Bevölkerungsschutz aufgetragen. Die Meldepflicht betreffe jedoch nur kritische Infrastrukturen. Dazu gehören Unternehmen, die für das Funktionieren eines Landes unabdingbar seien, wie beispielsweise Elektrizitärtswerke oder Banken. Eine Meldepflicht für die gesamte Wirtschaft steht vorerst nicht auf dem Plan, so die NZZ. Das hätte nämlich die Anhäufung von Bagatellfällen zu Folge.

    Positives Echo in der Wirtschaft

    In der Wirtschaft stößt diese Ankünding der Meldepflicht auf positive Reaktionen. Uwe Kissmann, der Leiter der Kommission für Cybersicherheit der Firma ICT, begrüßt diese Maßnahme. Allem voran stehe der präventive Nutzen für ihn im Vordergrund. Zur NZZ sagte er: „Wenn das angegriffene Unternehmen diesen Vorfall gemeldet hat, können sich die anderen besser davor schützen“.

    Doch auch wenn die Gesetzesänderung auf Anklang stößt, besteht Skepsis. Die Ressourcen des Bundes stehen noch unter Zweifel, so Kissmann. Wenn diese nicht von Anfang bereitstünden, so müsse man sich auf den zusätzlichen Verwaltungsaufwand konzentrieren, anstatt auf den Nutzen. „Wenn die neue Regulierung nicht von Anfang an Wirkung zeigt, ist das Wasser auf die Mühlen der Kritiker“, vermutet Kissmann.

    Unklarheiten

    Noch stehen aber viele Fragen offen, wen genau diese Meldepflicht betreffen könne. Laut der NZZ sei bisher nur definiert, dass es sich um die kritische Infrastrukturen handeln soll. Diese Wirtschaftssektoren sind bisher verpflichtet, nur große Cyberattacken zu melden. Kleinere oder erfolglose Angriffe sind davon ausgeschlossen. Doch auch die könnten durchaus interessant für Analytiker sein.

    Wichtige Punkte zur Meldepflicht sind noch nicht klar eingegrenzt. So beispielsweise, ob ein Unternehmen den Vorfall anonym melden könnte. Auch der Zeitraum, in dem das Melden erfolgen muss oder die gegebenenfalls bestehenden Sanktionen bei einer Meldeverweigerung – all dies sei noch unbekannt. Laut der NZZ sollen diese Punkte bis zur Mitte des Jahres ausgehandelt und klar vereinbart werden.

    Deutsches IT-Sicherheitsgesetz

    Auch in Deutschland steht die Gesetzesvorlage der Informationssicherung in Überarbeitung. Dem Kompetenz-Netzwerk „IT-Service.network“, eine Webplattform für IT-Dienstleister, ist zu entnehmen:

    „Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, so der eigentliche Titel, ist eine Maßnahme aus dem Koalitionsvertrag der Bundesregierung und in seiner Ur-Version seit 2015 in Kraft. Im Kern geht es bei der jetzigen Überarbeitung darum, die IT-Sicherheit in Deutschland für alle Parteien zu erhöhen. Dabei sollen auch aktuelle Problematiken wie beispielsweise die steigende Anzahl von Hacker-Angriffen berücksichtigt werden.“

    Das Gesetz sieht laut einer Meldung dem Online-Magazin „Informatik Aktuell“ eine Ausweitung der Meldepflicht bei Cyberangriffen vor. Das Bundesinnenministerium hat diesen Beschluss aufgrund der seltenen Meldung der Unternehmen gefasst. Aus Angst vor einem Imageschaden, melden die wenigsten Unternhemen in Deutschland eine Attacke freiwillig.

    lm

    GemeinschaftsstandardsDiskussion
    via Sputnik kommentierenvia Facebook kommentieren

    Zum Thema:

    Dafür wurde die EU geschaffen – Trump erläutert
    Messerattacken auf Frauen in Norwegen – eine Tote
    An-22: Flug des größten Turbopropflugzeugs der Welt – Video
    Tags:
    Schutz, Cybersicherheit, Cyberangriff