Durch Sicherheitslücken in Computersystemen entstehen pro Jahr Schäden in Milliardenhöhe. Cyberkriminelle nutzen Schwachstellen auf unterschiedliche Weise aus, erbeuten Daten, Geld und verunsichern die Nutzer immer mehr. Würde eine Meldepflicht in Deutschland bestehen, könnte diese Art der Cyberkriminalität besser eingedämmt werden.

Bundestag lehnt Meldepflicht ab

Seit Jahren fordern Sicherheitsexperten eine gesetzlich verankerte Meldepflicht für Sicherheitslücken. Dies lehnt die deutsche Regierung bisher konsequent ab, denn Nachrichtendienste und Militär erhob dagegen Einspruch, um auch weiterhin ihre digitalen Waffenprogramme und Schadsoftware nutzen zu können. Der Zweck dieser Nutzung wurde und wird der Öffentlichkeit nicht erklärt.

Im Jahr 2015 wurde der erste Entwurf zum Gesetz zur Erhöhung der Erhöhung informationstechnischer Systeme diskutiert und das Thema aufgegriffen. Schon damals stand die Forderung der Sicherheitsexperten zur Debatte, wurde aber durch das Veto der Bundesbehörden, die Sicherheitslücken nutzen, ausgebremst.

Jetzt wird das Gesetz zur Erhöhung der Erhöhung informationstechnischer Systeme neu betrachtet und soll ein Update erhalten. Es wird fortgeschrieben und im Frühjahr dem Bundestag zur erneuten Beratung vorgelegt.

Neuer Gesetzentwurf mit Meldepflicht ?

Am Rande des Digitalgipfels 2018 in Nürnberg wurde Innenminister Seehofer auf eine mögliche Meldepflicht für Schwachstellen per Gesetz angesprochen und sagte spontan eine Prüfung des Sachverhaltes zu. Er diskutierte mit Fachleuten über die Brisanz der Schwachstellen und sagte: „Wenn man so eine Pflicht in ein Gesetz schreibt, dann muss es auch die Wirkung entfalten, die man sich davon verspricht.“ Er kündigte bei seinem Stab an, dieses Problem dringlich und vorrangig zu behandeln :“Ich frage jetzt jede Woche: Wo ist die Meldepflicht?“

Allerdings heißt Prüfung noch nicht Zusage und erst recht nicht Gesetz. Eine entsprechende Klausel im neuen Gesetzentwurf müsste mit allen Ministerien abgestimmt und dann zur Diskussion in den Bundestag eingebracht werden. Das kann lange dauern und ist nur ein kleiner Schritt zu mehr Sicherheit bei Datenhacks.