Nichts Gutes oder Schlechtes: IT-Sicherheitsgesetz ist in Kraft

Das IT-Sicherheitsgesetz: Nichts Halbes und nichts Ganzes

Das lang diskutierte IT-Sicherheitsgesetz ist in Kraft getreten. Doch kann es den hochgesteckten Erwartungen der Bundesregierung gerecht werden?

Bereits im vergangenen Dezember hatte die Bundesregierung nach monatelanger Diskussion den „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ vorgelegt. Ein Gesetz, das Bundesinnenminister de Maizière zufolge „die deutschen IT-Systeme zu den sichersten in der Welt machen“ soll. Seit Ende Juli unterliegen Betreiber „kritischer Infrastrukturen“ nun strengen Sicherheitsvorschriften. Sie sind dazu verpflichtet, ein gewisses Mindestniveau an Sicherheit einzuhalten und alle Vorfälle zu melden, die dessen Gewährleistung kompromittieren. Halten sich die Unternehmen nicht an die neuen Vorschriften, droht ihnen ein Bußgeld in bislang noch undefinierter Höhe.

Das IT-Sicherheitsgesetz trägt der allgemeinen Tendenz deutscher Unternehmen hin zu einem verstärkten Sicherheitsbewusstsein Rechnung. So ergab eine repräsentative Umfrage des Branchenverbandes Bitkom, dass der Umsatz mit Software und Services zur Steigerung der IT-Sicherheit im laufenden Jahr voraussichtlich um 6,5 Prozent auf 3,7 Milliarden Euro ansteigen wird. Werden diese geplanten Maßnahmen durch das neue IT-Sicherheitsgesetz sinnvoll unterstützt?

Noch zahlreiche Unklarheiten im IT-Sicherheitsgesetz

Bekanntlich erhöht es die Akzeptanz und demzufolge die intentionskonforme Umsetzung eines Gesetzes enorm, wenn dieses verständlich und nachvollziehbar formuliert ist. Genau darin liegt aber der Knackpunkt beim IT-Sicherheitsgesetz: Zu viel ist (noch) unklar, zu wenig eindeutig definiert.

Beispielsweise ist alles andere als klar, welche Einrichtungen genau als „Betreiber kritischer Infrastrukturen“ zu verstehen sind. Solche aus den Sektoren Energie und Gesundheit zählen dazu, aber auch Verkehrs- und Telekommunikationsunternehmen, so eine erste vage Definition. Eine im Laufe des Jahres noch zu erarbeitende Rechtsverordnung soll den Geltungsbereich des Gesetzes eingrenzen, indem sie messbare Kriterien wie etwa den Marktanteil eines Unternehmens mit einer bestimmten Leistung in einer Region einführt. Grob geschätzt sollen nicht mehr als 2.000 Betreiber kritischer Infrastrukturen von den Vorgaben betroffen sein.

Doch auch weitere Fragen gilt es zu klären. Welche Vorfälle müssen gemeldet, welche Standards eingehalten werden? Dem Gesetzestext zufolge müssen die geforderten IT-Sicherheitsstandards dem „Stand der Technik“ entsprechen – ein schwammiger Begriff, den jeder anders definiert. An welcher Stelle wir auch ansetzen, das IT-Sicherheitsgesetz erweckt den Eindruck eines noch nicht vollständig durchdachten Schnellschusses. Die zahlreichen Unklarheiten sorgen für Unsicherheit bei den Unternehmen, die sich unter Druck gesetzt fühlen, ohne auf konkrete Handlungsempfehlungen zugreifen zu können. Zusätzlich verschärft wird die Situation durch die Androhung von Bußgeldern.

Ist IT-Sicherheit überhaupt regulierbar?

Darüber hinaus stellen sich einige Kritiker des Gesetzes die Frage, ob ein derart komplexes und zeitgebundenes Themengebiet wie die IT-Sicherheit überhaupt in sinnvoller Weise reguliert werden kann. Inwieweit können die langsamen Mühlen der deutschen Bürokratie einer dynamischen digitalen Welt gerecht werden, in der staatliche Grenzen nur noch eine untergeordnete Rolle spielen? Sind nicht jegliche Richtlinien zum Zeitpunkt ihres Beschlusses bereits wieder veraltet? Wesentliche Denkanstöße in diese Richtung gab Linus Neumann vom Chaos Computer Club während einer öffentlichen Anhörung vor dem Innenausschuss des Bundestages im April. Dort bemängelte er unter anderem, dass die mit dem IT-Sicherheitsgesetz geschaffene Bürokratie „zu Lasten pro-aktiver Schutzmaßnahmen“ gehe – die Durchführung von Sicherheitsmaßnahmen also sogar eher lähme, anstatt sie zu fördern.

Einem ähnlichen Gedankengang folgend argumentiert mein Kollege Stefan Luckhaus, dass Gesetze, Standards und das Abhaken von Listen alleine den Angreifern nur wenig entgegenzusetzen haben. Zusätzlich dazu seien ein gesunder Menschenverstand sowie genau diejenigen geistigen Fähigkeiten vonnöten, über die auch die Angreifer verfügen – nämlich Scharfsinn, Erfahrung und Kreativität. Ob das Ende Juli in Kraft getretene IT-Sicherheitsgesetz diese Eigenschaften in sich vereinigen kann, ist zum aktuellen Zeitpunkt leider noch nicht zu erkennen. In seiner derzeitigen Form ist das Gesetz nichts Halbes und nichts Ganzes, sondern lediglich ein vorsichtiger erster Schritt auf einem langen Weg, den es zu beschreiten gilt. Ob dieser Weg letztendlich in ein Deutschland führt, das weltweit als Vorreiter in Sachen IT-Sicherheit betrachtet werden kann, wird sich erst noch zeigen müssen.

 

Bildquelle: Shutterstock

Ein Gedanke zu “Das IT-Sicherheitsgesetz: Nichts Halbes und nichts Ganzes”

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.