Minimalanforderungen im IT-Sicherheitsbereich

IT-Sicherheitsgesetz im Faktencheck


IT-Sicherheitsgesetz im Faktencheck: Minimalanforderungen im IT-Sicherheitsbereich Kolumne

Der Bundestag hat mit den Stimmen der Großen Koalition das sogenannte IT-Sicherheitsgesetz verabschiedet. Demnach müssen Betreiber "kritischer Infrastrukturen" zukünftig Angriffe auf Computer und Netzwerke dem Bund melden, sprich dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Konkret heißt es hierzu in einer Presseverlautbarung des Bundesministeriums des Inneren: "Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden." Während die Große Koalition das Ganze erfahrungsgemäß begrüßt, kritisieren Opposition und Experten das neue IT-Sicherheitsgesetz. Uwe Rühl, Geschäftsführer der Rühlconsulting GmbH, zeigt im folgenden Faktencheck eine Übersicht der kritischen Punkte:

Fakt 1: Unpräzise Formulierungen, Nachbesserungen gefordert

Während die einen die Gesetzesinitiative loben und als überfällig präsentieren, kritisieren Experten die Ungenauigkeit das IT-Sicherheitsgesetz. So schreibt "Zeit Online" in einem Beitrag zu "Bundestag verabschiedet IT-Sicherheitsgesetz": "Was zum Beispiel unter kritischen Infrastrukturen zu verstehen ist, geht aus dem Text nicht hervor." Nach Aussagen von "TeleTrusT - Bundesverband IT-Sicherheit e.V." sei die Gesetzesinitiative zu begrüßen. "Gleichzeitig hält es TeleTrusT für dringend erforderlich, das Gesetz alsbald nachzubessern und zu konkretisieren." Im Grunde setzt das neue Gesetz Leitplanken, ohne den genauen Weg festzulegen. Im Klartext heißt das, es fehlen Ausführungsverordnungen, die den Umgang mit dem Gesetz steuern.

Das schafft im Grunde erst einmal Unsicherheiten im Umgang mit dem neuen Gesetz. Mehr noch bestimmen neben unpräzisen Aussagen vor allem lange Übergangszeiten ohne Konkretisierungen das Regelwerk. Das Spannungsfeld: Sobald das Gesetz als Rechtsverordnung besteht, bleibt den Unternehmen zwei Jahre Zeit zur Umsetzung. Ein eng bemessener Zeitraum. Schätzungen der Bundesregierung sprechen von rund 2.000 sogenannten KRITIS(Kritische Infrastrukturen)-Unternehmen, für die das Gesetz verpflichtend werden könnte. Für die Experten von TeleTrusT führe das IT-Sicherheitsgesetz in der aktuellen Form nicht zur Verbesserung der Sicherheitslage. "Das liege nicht zuletzt daran, dass der Gesetzgeber weder Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Vorkehrungen getroffen, noch sonstige Vorgaben zu Mindestanforderungen aufgestellt habe", so der Bundesverband TeleTrusT in einer Presseverklärung. Im Umkehrschluss schafft das neue IT-Sicherheitsgesetz mehr Unsicherheit als Sicherheit für Unternehmen.

Fakt 2: Politik: Das Ziel professioneller Hackerangriffe

Pikant an dem neuen IT-Sicherheitsgesetz ist, dass gerade die politisch Verantwortlichen und ihre IT-Infrastrukturen immer wieder das Ziel professioneller Hackerangriffe sind. Die Latte der Vorfälle ist lang und reicht vom groß angelegten Angriff auf das Kanzleramt über den Abhörskandal um das Smartphone von Bundeskanzlerin Merkel bis zum jüngst bekanntgewordenen Angriff auf den "Deutschen Bundestag". In diesem Kontext sind die Aussagen des BSI zum Hackerangriff auf den Bundestag etwas dünn: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es die IT-Experten der Bundestagsverwaltung derzeit in der Analyse dieses Vorfalls unterstützt. Weitere Auskünfte hierzu kann das BSI derzeit nicht geben." Grundsätzlich drängt sich der Eindruck auf, dass mit der Veröffentlichung des Gesetzes schnell (halbe) Fakten geschaffen wurden, um ein öffentliches Zeichen zu setzen.

Fakt 3: Wo ist die Prävention und die Awareness?

Das Gesetz stützt sich auf Meldungen im Schadensfall – inklusive von Sanktionen bei Vergehen. Das ist zu wenig, denn eigentlich müssten Gesetzesinitiativen viel stärker auf das Thema Prävention setzen und Anreize zur stärkeren Awareness schaffen. Doch davon ist im IT-Sicherheitsgesetz nicht die Rede. Es fehlt derzeit an konkreten Vorgaben und Ausführungsverordnungen. Vielmehr muss es darum gehen, Sicherheitsstandards zu verbessern und zu erhöhen. Und an dieser Stelle bieten sich Sensibilisierungsmaßnahmen an. Experten bekunden seit langer Zeit, dass die IT samt Sicherheitsvorkehrungen nur rund 20 bis 30 Prozent der Security gewährleisten kann. Den größten Prozentsatz belegt der eigene Mitarbeiter mit seinem Verhalten. Im Klartext heißt das: Sind Mitarbeiter für die Gefahren im Umgang mit den unternehmenskritischen Informationen ausreichend sensibilisiert, lassen sich die Risiken minimieren und besser steuern. Dies bedingt zugleich, dass durchgängige Awareness-Programme für alle Mitarbeiter einer Organisation regelmäßig durchgeführt werden. Doch davon ist im neuen Gesetz zur IT-Sicherheit nichts zu lesen. Im Umkehrschluss könnte es auch heißen: Ohne ausreichendes Wissen aller Mitarbeiter im Umgang mit den Cybergefahren kann es keinen Schutz der sensiblen Bereiche samt kritischer Informationen in der eigenen Organisation geben. An dieser so wichtigen Stelle in puncto Aufklärung und Wissensausbau gilt es nun nachzulegen.

Fakt 4: Ungleicher Kampf im Cyberwar

Für Bundesinnenminister Thomas de Maizière ist das Gesetz ein großer Schritt in "Richtung mehr IT-Sicherheit". Wer glaubt mit halbherzigen Gesetzesinitiativen mehr IT-Sicherheit zu fördern, der irrt. Professionelle Hacker und staatliche Spionagestellen sind perfekt auf den Cyberkrieg eingestellt, verfügen über immense Ressourcen und Know-how (Stichwort: NSA und PRISM), um an das zu kommen was sie wollen: Informationen. Den Kampf um die IT-Sicherheit haben die vom Gesetz umfassten Branchen schon verloren, bevor er überhaupt begonnen hat. Hinzu kommen die etwas blassen Bemühungen von Organisationen jeder Größe und in allen Branchen mit ihren Pleiten und Pannen. Schöne Geschäfts- und Lageberichte können nicht darüber hinwegtäuschen, dass viele Unternehmen Probleme haben bereits Mindeststandards an IT-Sicherheit zu leisten. Und für ein qualitatives "Mehr" an IT-Sicherheit tragen keine unklaren Gesetze oder Sanktionen bei, sondern Prävention und Aufklärung.

Ergänzend bleibt festzuhalten, dass das beschlossene IT-Sicherheitsgesetz nicht mehr als ein Tropfen auf den heißen Stein im Kampf gegen Cyberkriminelle darstellt. Dem Betrachter offenbart sich die ganze Hilflosigkeit der Politik im Kampf gegen Spione, Hacker und Datendiebe. Während politische Stellen lange auf eine Informationssicherheitspolitik 1.0 setzten, wachen sie langsam aus dem Dornröschenschlaf auf. Cybergegner – ob Freund und Feind (wer kann das in diesen Zeiten so genau beurteilen) – sind meist mehr als eine Nasenlägen voraus. Und daran ändert auch das neue IT-Sicherheitsgesetz nichts mit Minimalanforderungen im IT-Sicherheitsbereich. Ganz abgesehen davon, dass das Gesetz nicht in ein Gesamtkonzept eingebunden ist und somit nur eine weitere Insellösung gegen Cyberangriffe darstellt.

[ Bildquelle Titelbild: © Anna - Fotolia.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.