Viele Unternehmen scheuen sich, Hackerangriffe zu melden – das bringt Probleme

Soll man als betroffenes Unternehmen einen Hackerangriff melden oder nicht? – Die Bundesregierung mahnt derzeit, in jedem Fall die entsprechenden Behörden zu informieren. Dies sei wichtig für die gesamte Branche.

Gezielte Hackerangriffe auf Unternehmen sind eine Belastung für die ganze Branche: Sensible Daten geraten in Gefahr, finanzielle Schäden können entstehen und auch dem Image kann ein solcher Angriff unter Umständen tiefe Kratzer zufügen.

Gefahrenlage: Behörden sind auf Informationen über Hackerangriffe angewiesen

Und genau solche potenziellen Imageschäden sind es, die viele betroffene Firmen dazu veranlassen, solche Attacken eben nicht bei den zuständigen Behörden zu melden, bestätigt auch Günter Krings (CDU), Parlamentarischer Staatssekretär im Bundesinnenministerium, bei der gestrigen Wirtschaftsschutz-Konferenz in Berlin. Doch genau darin liegt auch ein großes Problem.

Denn entsprechende Meldungen an die zuständigen Behörden und umfassende Informationen über die Hackerangriffe sind entscheidend dafür, dass sich die Sicherheitsbehörden ein Bild der Lage machen und aktuelle Gefahren besser einschätzen können. Auch eventuelle Maßnahmen oder Warnungen sind nur möglich, wenn ein Lagebild vorliegt.

Unternehmen müssten von Meldungen profitieren

Eine Pflicht zur Meldung von digitalen Angriffen betrifft aktuell nur eine ausgewählte Gruppe von Unternehmen: „Bislang gilt diese Pflicht nur für die Betreiber von kritischer Infrastruktur wie Energieversorger, Telekommunikationsunternehmen sowie größere Unternehmen aus den Bereichen Gesundheit und Transport“, berichtet Heise Online. Um Gefahrenlagen allerdings künftig besser einschätzen zu können, plane die Bundesregierung ein neues IT-Sicherheitsgesetz, das auch neue, erweiterte Meldepflichten in den Blick rückt.

Allerdings gab Volker Wagner, Vorstandsvorsitzender der Allianz für Sicherheit in der Wirtschaft, zu bedenken, dass zusätzliche Meldeverpflichtungen für Unternehmen nur dann akzeptabel seien, „wenn die Firmen nach dem Angriff auch davon profitierten, etwa durch konkrete Hilfestellung und Unterstützung bei Präventionskonzepten“, heißt es bei Heise weiter.