Kolumne

Minimalanforderungen im IT-Sicherheitsbereich

IT-Sicherheitsgesetz im Faktencheck

Redaktion RiskNET24.06.2015, 08:20

Der Bundestag hat mit den Stimmen der Großen Koalition das sogenannte IT-Sicherheitsgesetz verabschiedet. Demnach müssen Betreiber "kritischer Infrastrukturen" zukünftig Angriffe auf Computer und Netzwerke dem Bund melden, sprich dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Konkret heißt es hierzu in einer Presseverlautbarung des Bundesministeriums des Inneren: "Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden." Während die Große Koalition das Ganze erfahrungsgemäß begrüßt, kritisieren Opposition und Experten das neue IT-Sicherheitsgesetz. Uwe Rühl, Geschäftsführer der Rühlconsulting GmbH, zeigt im folgenden Faktencheck eine Übersicht der kritischen Punkte:

Fakt 1: Unpräzise Formulierungen, Nachbesserungen gefordert

Während die einen die Gesetzesinitiative loben und als überfällig präsentieren, kritisieren Experten die Ungenauigkeit das IT-Sicherheitsgesetz. So schreibt "Zeit Online" in einem Beitrag zu "Bundestag verabschiedet IT-Sicherheitsgesetz": "Was zum Beispiel unter kritischen Infrastrukturen zu verstehen ist, geht aus dem Text nicht hervor." Nach Aussagen von "TeleTrusT - Bundesverband IT-Sicherheit e.V." sei die Gesetzesinitiative zu begrüßen. "Gleichzeitig hält es TeleTrusT für dringend erforderlich, das Gesetz alsbald nachzubessern und zu konkretisieren." Im Grunde setzt das neue Gesetz Leitplanken, ohne den genauen Weg festzulegen. Im Klartext heißt das, es fehlen Ausführungsverordnungen, die den Umgang mit dem Gesetz steuern.

Das schafft im Grunde erst einmal Unsicherheiten im Umgang mit dem neuen Gesetz. Mehr noch bestimmen neben unpräzisen Aussagen vor allem lange Übergangszeiten ohne Konkretisierungen das Regelwerk. Das Spannungsfeld: Sobald das Gesetz als Rechtsverordnung besteht, bleibt den Unternehmen zwei Jahre Zeit zur Umsetzung. Ein eng bemessener Zeitraum. Schätzungen der Bundesregierung sprechen von rund 2.000 sogenannten KRITIS(Kritische Infrastrukturen)-Unternehmen, für die das Gesetz verpflichtend werden könnte. Für die Experten von TeleTrusT führe das IT-Sicherheitsgesetz in der aktuellen Form nicht zur Verbesserung der Sicherheitslage. "Das liege nicht zuletzt daran, dass der Gesetzgeber weder Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Vorkehrungen getroffen, noch sonstige Vorgaben zu Mindestanforderungen aufgestellt habe", so der Bundesverband TeleTrusT in einer Presseverklärung. Im Umkehrschluss schafft das neue IT-Sicherheitsgesetz mehr Unsicherheit als Sicherheit für Unternehmen.

Fakt 2: Politik: Das Ziel professioneller Hackerangriffe

Pikant an dem neuen IT-Sicherheitsgesetz ist, dass gerade die politisch Verantwortlichen und ihre IT-Infrastrukturen immer wieder das Ziel professioneller Hackerangriffe sind. Die Latte der Vorfälle ist lang und reicht vom groß angelegten Angriff auf das Kanzleramt über den Abhörskandal um das Smartphone von Bundeskanzlerin Merkel bis zum jüngst bekanntgewordenen Angriff auf den "Deutschen Bundestag". In diesem Kontext sind die Aussagen des BSI zum Hackerangriff auf den Bundestag etwas dünn: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es die IT-Experten der Bundestagsverwaltung derzeit in der Analyse dieses Vorfalls unterstützt. Weitere Auskünfte hierzu kann das BSI derzeit nicht geben." Grundsätzlich drängt sich der Eindruck auf, dass mit der Veröffentlichung des Gesetzes schnell (halbe) Fakten geschaffen wurden, um ein öffentliches Zeichen zu setzen.

Fakt 3: Wo ist die Prävention und die Awareness?

Das Gesetz stützt sich auf Meldungen im Schadensfall – inklusive von Sanktionen bei Vergehen. Das ist zu wenig, denn eigentlich müssten Gesetzesinitiativen viel stärker auf das Thema Prävention setzen und Anreize zur stärkeren Awareness schaffen. Doch davon ist im IT-Sicherheitsgesetz nicht die Rede. Es fehlt derzeit an konkreten Vorgaben und Ausführungsverordnungen. Vielmehr muss es darum gehen, Sicherheitsstandards zu verbessern und zu erhöhen. Und an dieser Stelle bieten sich Sensibilisierungsmaßnahmen an. Experten bekunden seit langer Zeit, dass die IT samt Sicherheitsvorkehrungen nur rund 20 bis 30 Prozent der Security gewährleisten kann. Den größten Prozentsatz belegt der eigene Mitarbeiter mit seinem Verhalten. Im Klartext heißt das: Sind Mitarbeiter für die Gefahren im Umgang mit den unternehmenskritischen Informationen ausreichend sensibilisiert, lassen sich die Risiken minimieren und besser steuern. Dies bedingt zugleich, dass durchgängige Awareness-Programme für alle Mitarbeiter einer Organisation regelmäßig durchgeführt werden. Doch davon ist im neuen Gesetz zur IT-Sicherheit nichts zu lesen. Im Umkehrschluss könnte es auch heißen: Ohne ausreichendes Wissen aller Mitarbeiter im Umgang mit den Cybergefahren kann es keinen Schutz der sensiblen Bereiche samt kritischer Informationen in der eigenen Organisation geben. An dieser so wichtigen Stelle in puncto Aufklärung und Wissensausbau gilt es nun nachzulegen.

Fakt 4: Ungleicher Kampf im Cyberwar

Für Bundesinnenminister Thomas de Maizière ist das Gesetz ein großer Schritt in "Richtung mehr IT-Sicherheit". Wer glaubt mit halbherzigen Gesetzesinitiativen mehr IT-Sicherheit zu fördern, der irrt. Professionelle Hacker und staatliche Spionagestellen sind perfekt auf den Cyberkrieg eingestellt, verfügen über immense Ressourcen und Know-how (Stichwort: NSA und PRISM), um an das zu kommen was sie wollen: Informationen. Den Kampf um die IT-Sicherheit haben die vom Gesetz umfassten Branchen schon verloren, bevor er überhaupt begonnen hat. Hinzu kommen die etwas blassen Bemühungen von Organisationen jeder Größe und in allen Branchen mit ihren Pleiten und Pannen. Schöne Geschäfts- und Lageberichte können nicht darüber hinwegtäuschen, dass viele Unternehmen Probleme haben bereits Mindeststandards an IT-Sicherheit zu leisten. Und für ein qualitatives "Mehr" an IT-Sicherheit tragen keine unklaren Gesetze oder Sanktionen bei, sondern Prävention und Aufklärung.

Ergänzend bleibt festzuhalten, dass das beschlossene IT-Sicherheitsgesetz nicht mehr als ein Tropfen auf den heißen Stein im Kampf gegen Cyberkriminelle darstellt. Dem Betrachter offenbart sich die ganze Hilflosigkeit der Politik im Kampf gegen Spione, Hacker und Datendiebe. Während politische Stellen lange auf eine Informationssicherheitspolitik 1.0 setzten, wachen sie langsam aus dem Dornröschenschlaf auf. Cybergegner – ob Freund und Feind (wer kann das in diesen Zeiten so genau beurteilen) – sind meist mehr als eine Nasenlägen voraus. Und daran ändert auch das neue IT-Sicherheitsgesetz nichts mit Minimalanforderungen im IT-Sicherheitsbereich. Ganz abgesehen davon, dass das Gesetz nicht in ein Gesamtkonzept eingebunden ist und somit nur eine weitere Insellösung gegen Cyberangriffe darstellt.

[ Bildquelle: © Anna - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Studie

Qualitative Evaluationsstudie

Risikomodellierung, Predictive Analytics und Big Data

Frank Romeike | Stefan Trummer19.06.2018, 08:07

Das Banken- und Versicherungsumfeld ist seit vielen Jahren im Umbruch. Dazu haben in nicht unerheblichem Maße die Aufsichtsbehörden und Standardsetter beigetragen. Wurden bis Mitte der 2000er...

Interview

Mundus vult decipi

Was tun mit Fake News?

Redaktion RiskNET06.06.2018, 14:24

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert...

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...

Kolumne

CFO Survey Frühjahr 2018

Fachkräftemangel und Protektionismus dominieren Risikolandkarte

Redaktion RiskNET11.05.2018, 14:32

Der Deloitte CFO Survey reflektiert die Einschätzungen und Erwartungen von CFOs deutscher Großunternehmen zu makroökonomischen, unternehmensstrategischen und finanzwirtschaftlichen Themen sowie...