Computerwelt: Aktuelle IT-News Österreich


20.03.2013 :: Printausgabe 06/2013 :: Wolfgang Franz

Ledinger: "Meldepflicht allein ist nicht genug"

Der Vorschlag der EU-Kommission zur Netz- und Informationssicherheit beinhaltet unter anderem eine Meldepflicht. Diese soll mit wirtschaftlichen Interessen abgewogen werden. Die COMPUTERWELT sprach mit dem Leiter von GovCERT, Roland Ledinger.

Roland Ledinger, GovCERT

Roland Ledinger, GovCERT

© Wolfgang Franz

Die Europäische Kommission hat am 7. Februar 2013 den Vorschlag für eine Richtlinie zur Netz- und Informations­sicherheit (NIS) veröffentlicht. Der Leitgedanke: Cyberangriffen und -kriminalität kann man nur durch gemeinsames Vorgehen und Vernetzung der Akteure wirksam begegnen. Laut Roland Ledinger, Leiter des Government Computer Emergency Response Team (GovCERT), soll die künftige Cyberstrategie auf drei Säulen aufbauen; Dem klassischen Bereich der IKT-Sicherheit, wo auch die CERT-Strukturen verankert sind, zweitens auf der Strafverfolgung (Cybercrime) und drittens dem militärischen Bereich der Verteidigung (Cyber­defence). Die klare Trennung vor allem zwischen dem ersten und zweiten Bereich ist mit Bedacht gewählt: Verstöße gegen die IT-Security sollen nicht automatisch in der Strafverfolgung enden und damit der Öffentlichkeit preisgegeben werden. Dies hilft sensiblen Bereichen wie etwa dem Bankensektor: Die Veröffentlichung von Vorfällen kann hier schnell zu Vertrauensverlust und einem massiven Imageschaden führen.

Um dieser Situation Rechnung zu tragen und gleichzeitig den notwendigen rechtlichen Rahmen zu schaffen, beinhaltet die NIS-Richtlinie eine Meldepflicht – diese allerdings mit Einschränkungen: "Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann", so der entsprechende NIS-Wortlaut.

Dazu kommt, dass die Meldepflicht erst ab einem gewissen Schwellenwert schlagend werden wird, mit der Gefahr, dass unterschwellige Vorfälle nicht bekannt werden und dass damit Bedrohungen, die erst gerade im Entstehen sind, ausgeklammert bleiben. "Die Meldepflicht allein ist nicht genug", sagt Roland Ledinger gegenüber der COMPUTERWELT. "Was wir brauchen, ist eine vertrauenswürdige Umgebung zum Teilen der Information." Auch hier steht der Bankenbereich Pate: "Der Finanzsektor hat sich schon immer getroffen, um Informationen diskret auszutauschen und gemeinsame Lösungen zu suchen." Was vertrauenswürdig in diesem Zusammenhang bedeuten kann, illustriert Ledinger folgendermaßen: "Wir als GovCERT haben Vertreter des Banksektors eingeladen, um unsere Organisation und unsere Informationen bereitzustellen. Die Skepsis war zu Beginn groß. Nachdem wir aber angeboten haben, den Sitzungssaal auf Wunsch zu verlassen oder bereit waren, die gestellten Bedingung zu erfüllen, nicht die Strafverfolgung einzubinden, war das Vertrauen da."

Nach diesem Muster plant das GovCERT das Netzwerk auszubauen, indem es die Vertreter eines Sektors an einen Tisch holt und die hier gewonnenen Erkenntnisse koordiniert. Das Team ist gerade dabei, den Gesundheitsbereich anzugehen. "Wenn das vertrauenswürdige Netzwerk funktioniert, dann spielt die Meldepflicht nur mehr eine sekundäre Rolle", so Roland Ledinger abschließend. (su)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

comments powered by Disqus
   

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

Werden Sie CW-Premium User

Whitepaper und Printausgabe kostenlos lesen.
Bis Ende August 10 x Haude Money to go gewinnen! 

kostenlos registrieren

Zum Thema

  • Raiffeisen Informatik GmbH

    Raiffeisen Informatik GmbH WLAN-Systeme, VPN, Videokonferenz-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), IP-Kommunikation und Voice over IP, Computer Telefonie Integration, Werbewirtschaft,... mehr
  • Anexia Internetdienstleistungen GmbH

    Anexia Internetdienstleistungen GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • BDC IT-Engineering GmbH

    BDC IT-Engineering GmbH mehr

Programmierung & Hosting: