Ein Kommentar zum geplanten IT-Sicherheitsgesetz: der Weg ist noch weit

Mitte August hat das Innenministerium seinen Entwurf für das IT-Sicherheitsgesetz vorgelegt – ein Schritt in die richtige Richtung, der aber nicht weit genug geht. 

Das Ziel ist ein hochgestecktes: „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden.“ Vor allem Unternehmen mit „Kritischen Infrastrukturen“ (Telekommunikation, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser) sollen zukünftig besser vor Hacker-Angriffen geschützt werden. Im Kern sieht das Sicherheitsgesetz folgende Maßnahmen vor:

  • Einhaltung von Mindeststandards bei der IT-Sicherheit
  • Regelmäßige Sicherheitsaudits
  • Gesetzlich vorgeschriebene Meldepflicht von Störanfällen und Cyber-Angriffen

Grundsätzlich positiv zu bewerten ist die Meldepflicht – auch wenn über die genaue Ausgestaltung momentan kontrovers diskutiert wird (siehe z.B. Stellungnahme des BDI). Fakt ist: Aktuell existieren keine zentralen Zahlen; das jährliche Schadenpotenzial schätzen Experten wie Daniel Joseph, Mitarbeiter der Spionageabwehr des rheinland-pfälzischen Verfassungsschutzes, auf einen zweistelligen Milliardenbetrag. Ein realistisches Bild der Bedrohungslage eröffnet effektivere Handlungsoptionen. Problematisch ist hingegen der geplante Zeithorizont für die Definition der Mindeststandards: Unternehmen sollen diese innerhalb der nächsten zwei Jahre für ihre Branche festlegen – im Anschluss werden sie vom Bundesamt für Sicherheit abgesegnet. Der Knackpunkt: IT-Standards haben eine geringe Halbwertszeit und auch die Angreifer schlafen nicht.  Ein heute erstelltes Konzept ist in zwei Jahren überholt. Zum anderen steht und fällt das Vorhaben mit der Unterstützung der Unternehmen. Hier überwiegt momentan die Angst vor den Kosten. Dazu kommt, dass das Thema IT-Sicherheit in Deutschland nicht selten stiefmütterlich behandelt wird: in „konservativen“ Unternehmen ist die IT oft ein Randprojekt, schnell wachsende Unternehmen fühlen sich durch Restriktionen ausgebremst. Hier gilt es, Überzeugungsarbeit zu leisten.

Hochsichere Systeme notwendig

Cyberwar-Experten wie Sandro Gaycken benennen zusätzlich ein weiteres Dilemma: Handelsübliche Software ist zigtausendfach verwundbar und eine sichere Kommunikation gegen starke Angreifer damit nicht möglich (siehe: Video-Interview Sandro Gaycken). Um das Grundproblem der IT-Sicherheit zu lösen, wären umfangreiche Investitionen in die Entwicklung hochsicherer Systeme notwendig. Konträr dazu steht die im Zuge der Digitalen Agenda ausgegebene Marschrichtung „Nur was den Bundeshaushalt nicht zusätzlich belastet, ist machbar.“

Das IT-Sicherheitsgesetz ist ein wichtiger und in der Tendenz richtiger Ansatz. Zum jetzigen Zeitpunkt lässt es aber viele zentrale Fragen unbeantwortet und weist konzeptionelle Schwächen auf. Die Diskussion hat gerade erst begonnen…

Das IT-Sicherheitsgesetz ist ein Gesetzesvorhaben der Bundesregierung, das aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie resultiert. Der vorliegende Entwurf enthält Regelungen zu folgenden fünf Themenfeldern:

  • Verbesserung der IT-Sicherheit durch Mindeststandards und Meldepflichten.
  • Schutz der Bürgerinnen und Bürger in einem sicheren Netz.
  • Schutz der IT des Bundes.
  • Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
  • Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich Cybercrime.

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.