Berlin. Die deutsche Bundesregierung will in Kürze ernst machen und der gestiegenen Zahl von Cyberangriffen auf die Wirtschaft zu Leibe rücken. Der deutsche Bundesinnenminister Thomas de Maiziere wird dazu in den nächsten Wochen ein IT-Sicherheitsgesetz vorlegen. Unternehmen, die für das Gemeinwohl als besonders sensibel gelten, sollen schwere Attacken künftig an eine zentrale Stelle melden. Die Firmen fürchten dadurch erhebliche Nachteile und versuchen mit Hochdruck, Einfluss auf den Gesetzesentwurf zu nehmen.

Die Bedrohung durch Cyberattacken gehört für die deutschen Unternehmen inzwischen zum Alltag. 64.400 Fälle solcher Angriffe wurden im vergangenen Jahr in Deutschland polizeilich erfasst. Hinzu kommen unzählige abgefangene oder nicht gemeldete Zugriffe. Einer Umfrage des Branchenverbands Bitkom zufolge verzeichnete in den vergangen zwei Jahren jedes dritte Unternehmen Attacken auf seine IT-Systeme. Wie jüngst bei der Europäischen Zentralbank (EZB), wo mehrere tausend Kontaktdaten von Personen abgefischt werden konnten, gelingt es Hackern immer häufiger, Sicherheitslecks gezielt auszunutzen.

Angriffe auf Infrastruktur-Unternehmen
Bei so viel krimineller Energie ist die Befürchtung groß, dass durch die immer raffinierter werdenden Angriffe die Strom- oder Wasserversorgung lahmgelegt, Flughäfen zum Erliegen gebracht, Bankdaten und strenggeheime Rüstungsinformationen entwendet werden könnten. Um solche Horrorsituationen zu verhindern, soll das Bundesinstitut für Sicherheit in der Informationstechnologie (BSI) aus den gemeldeten Attacken künftig ein Lagebild erstellen und Schutzvorkehrungen treffen.

Unter die Meldepflicht sollen neben IT- und Telekommunikationsfirmen auch Energie- und Wasserversorger, Unternehmen aus dem Rüstungs-, Verkehrs- , Gesundheits- und Ernährungssektor sowie dem Finanz- und Versicherungswesen gehören, die allesamt zu den kritischen Infrastrukturen gerechnet werden, wie aus internen Unterlagen hervorgeht. Eine erfolgreiche Attacke gegen sie hätte schwere Folgen, etwa in Form von Versorgungsengpässen.

Meldungen wären unter Umständen börsenrelevant
Die IT-Expertin des Deutschen Industrie- und Handelskammertags (DIHK), Katrin Sobania, gibt allerdings zu bedenken, dass Firmen vor einer Meldung stets mögliche Konsequenzen für das Unternehmen prüfen müssten. Börsennotierte Unternehmen wären unter Umständen sogar verpflichtet, ihre Aktionäre zu warnen. "Im Extremfall hätte die Anzeige schwerwiegendere Folgen als der Cyberangriff selbst."