IT-Sicherheit: Sind Gesetze und Standards die Lösung?

Besonders in Deutschland zelebriert man das Zeichnen düsterer, Furcht einflößender Bilder, wenn es um die IT-Sicherheit geht. Der Ruf nach neuen Gesetzen wird laut. Nach einer Behörde, die bereits eingetretene Sicherheitsvorfälle zentral verwalten soll. Nach einer Zwangszertifizierung für Betreiber „Kritischer Infrastrukturen“. Sind wir damit auf dem richtigen Weg?

Ich behaupte: Nein. Wir müssen uns klar machen, dass es sich bei Angreifern auf die IT-Sicherheit meist um Menschen handelt, die gut ausgebildet, kreativ und erfahren sind und ihren Verstand einsetzen. Alleine durch das Befolgen von Gesetzen und Regeln oder die Einhaltung von Industriestandards haben wir ihnen nichts entgegenzusetzen. Nicht ohne den Einsatz des eigenen gesunden Menschenverstands. Verlassen wir uns ausschließlich auf die Regelwerke von Politikern, Gesetzesausschüssen und Normierungsgremien, werden wir vermutlich vom technischen Fortschritt überrollt werden. Denn wie mein Kollege Thomas Dudaczy bereits deutlich machte: Papier ist geduldig.

Die Bedeutung moderner risikoorientierter Industriestandards

Die Novellierung von Industriestandards wie der ISO 27001:2013 (Informationssicherheit) oder auch der ISO 9001:2015 (Qualität) ist ein Lichtblick, da diese Normen künftig stark risikoorientiert sind. Sie fordern eine vorausschauende Identifikation von Gefahren für die Informationssicherheit oder die Qualität der Produkte bzw. Dienstleistungen und entsprechende Maßnahmen, bevor ein Schaden entstanden ist. Dabei reicht es nicht aus, die als Teil der Standards bereitgestellten Listen abzuhaken. Es sind genau jene geistigen Fähigkeiten nötig, mit denen beispielsweise Angreifer nach Sicherheitslücken suchen, um neue Schwachstellen im eigenen Umfeld zu erkennen und die damit verbundenen Risiken zu antizipieren.

Ein Zertifikat sagt übrigens nichts darüber aus, mit welcher Gewissenhaftigkeit und Erfahrung ein Unternehmen seine Qualitäts- oder Sicherheitsrisiken antizipiert. Es zeigt nur, dass das dafür notwendige Instrumentarium eingesetzt wird. Umgekehrt kann das risikoorientierte Management von Qualität oder Informationssicherheit auch wirksam funktionieren, ohne dass ein Unternehmen zertifiziert ist.

Verstand, Erfahrung und Kreativität sind die Lösung

Gesetze verbessern nicht die Informationssicherheit. Moderne Industriestandards sind hilfreich, denn sie beschreiben ein mögliches Instrumentarium. Das Antizipieren von Sicherheitsrisiken erfordert jedoch Sachverstand, analytisches Denken und die Fähigkeit zu unkonventionellen Lösungsansätzen – und dies zum richtigen Zeitpunkt und am richtigen Ort.

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.