IT-Sicherheit und das geplante IT-Sicherheitsgesetz
Der Gesetzesvorstoß des Bundesinnenministeriums zum IT-Sicherheitsgesetz löst kein Problem, sondern schafft neue
Eigentlich ist es eine vernünftige Idee, IT-Sicherheit nicht den Cyberkriegern zu überlassen, sondern gegen Manipulationen an IT-Systemen mit rechtstaatlichen Mitteln und zivilen Behörden vorzugehen. Etwas komplizierter es ist, diese Idee praktisch umzusetzen oder am Ende sogar wirkungsvoll auszugestalten. Das geplante IT-Sicherheitsgesetz könnte hier positive Impulse setzen und den IT-Sicherheitsverantwortlichen rechtliche und praktische Hilfen geben. Besserung ist aber leider nicht in Sicht.
Kaum einem Internetsurfer muss man heute noch die Folgen von Viren, Würmern und Trojanern erklären und welche anderen Gefährdungen der IT-Sicherheit es noch gibt, auch wenn es oft an der praktischen Umsetzung dieses Wissens hapert. Cyberkrieger aus China und andere Bedrohungsszenarien sind die aktuellen Beispiele, um einer diffusen Gefahr eine konkrete Gestalt zu geben.
Die Voraussetzungen sind daher günstig, bessere IT-Sicherheit zumindest bei den Betreibern von kritischen Infrastrukturen zum Gegenstand eines "Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme"1 zu machen. Für kritische IT-Infrastrukturen "in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen" sollen deren Betreiber - dem Anfang März verschickten Gesetzesentwurf zufolge - dazu verpflichtet werden, "Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind" und dem "Stand der Technik" entsprechen. Sicherheitsaudits sollen die Wirkung der Maßnahmen validieren. Telekommunikationsunternehmen werden in ähnlicher Weise zu höheren Sicherheitsstandards verpflichtet.
Damit wird der als Schutzniveau für IT-Technologie in §9 des Bundesdatenschutzgesetzes seit Jahren vorgeschriebene "Stand der Technik", der bisher für alle Betreiber verpflichtend war, die personenbezogene Daten "erheben, verarbeiten oder nutzen", nahezu wortgleich ausgeweitet auf den Betrieb von Anlagen und Systemen.
IT-Sicherheitsvorfälle sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umgehend gemeldet werden, das daraus ein Lagebild zusammenstellt. Die Verfolgung von Computerkriminalität, die gegen "sicherheitsempfindliche Behörden oder Einrichtungen des Bundes" gerichtet ist, soll nach Artikel 2 des Gesetzentwurfs dem Bundeskriminalamt (BKA) übertragen werden.
Nachdem die in der Vergangenheit zur IT-Sicherheit bei kritischen Infrastrukturen eingerichteten amtlichen Arbeitskreise und Arbeitsgruppen bereits ihr 15-jähriges Dienstjubiläum feiern konnten, ohne über eine freiwillige Mitwirkung der Industrie hinaus gekommen zu sein, will die Bundesregierung nun mit gesetzlichen Vorschriften den Schutz kritischer Infrastrukturen gegen Manipulationen an IT-Systemen verbessern.
Bei genauerer Betrachtung lässt das geplante Gesetz aber die nachgerade unfassbare Absurdität der juristischen Seite der IT-Sicherheit in Deutschland in schönster Blüte erscheinen - leider jedoch ohne die geringste Aussicht auf Besserung.
Der lange Weg zum IT-Sicherheitsgesetz: 15 Jahre AG KRITIS
Die Idee hoher IT-Sicherheit beim Schutz kritischer Infrastrukturen ist weder neu noch eine Erfindung aus deutschen Amtsstuben. Auslöser war stattdessen eine Bestandsaufnahme der US-Regierung. Das Bundesinnenministerium (BMI) jedoch hielt eine vergleichbare Analyse der Lage in Deutschland zunächst für völlig überflüssig.
Der Spiegel berichtete über die Hintergründe: "1997 hatte sich der bündnisgrüne Bundestagsabgeordnete Manuel Kiper in einer Anfrage erkundigt, ob Deutschland für den Infowar gerüstet sei" und dabei auch nach der IT-Sicherheitslage bei kritischen Infrastrukturen gefragt. Die Antwort der Bundesregierung war eindeutig: Eine Bestandsaufnahme und ein dem amerikanischem Vorbild "entsprechendes Gremium besteht in Deutschland nicht und wird gegenwärtig nicht für erforderlich gehalten". Das Umdenken setzte allerdings sehr schnell ein: "Sechs Wochen später setzte der damalige Bundesinnenminister Manfred Kanther im Bundesamt für Sicherheit in der Informationstechnik (BSI) die Arbeitsgruppe Kritis ein" so der Spiegel damals weiter.
Seit 1997 versammelte die AG KRITIS die Betreiber kritischer Infrastrukturen zu Gesprächen. Von Beginn an zeigte sich deren Zurückhaltung gegenüber jeder Art von Auflagen oder gar Regelungen. Um die Beratungen nicht zu erschweren, wurden spezielle Bereiche wie etwa die IT-Sicherheit beim Betrieb von Kernkraftwerken ausgeklammert.
Drei Jahre nach Einrichtung der AG KRITIS kam ein erstes Ergebnispapier unautorisiert an die Öffentlichkeit2. Die halboffiziell und inoffiziell verbreiteten Papiere ließen die heute noch bestehenden Konfliktlinien deutlich werden. Schließlich legte die AG KRITIS im Sommer 2005 dem Bundeskabinett offiziell den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI) vor. Die Umsetzung für die Bundesverwaltung folgte dann 2007 mit dem Kabinettsbeschluss eines "Umsetzungsplans für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund)". Mittlerweile wirken auch Unternehmen der Privatwirtschaft und Betreiber von kritischen Infrastrukturen nach dem Freiwilligkeitsprinzip an der Umsetzung mit.
Der aktuelle Vorstoß des Innenressorts zu einer gesetzlichen Regelung zur IT-Sicherheit bei kritischen Infrastrukturen legt nach gut 15 Jahren Diskussion und wenig greifbaren Ergebnissen zumindest die Vermutung nahe, dass die geübte Freiwilligkeit auf Betreiberseite bei der effektiven Sicherung kritischer Infrastrukturen als nicht überzeugend genug gesehen wird.
Gute Gründe kann das Innenministerium aber nicht nur auf praktischer Ebene für sich geltend machen. Auch juristisch hat sich die Lage verändert. Das Bundesverfassungsgericht hat 2007 in seinem Urteil zu den Grenzen des Einsatzes von Bundestrojanern das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" definiert. Damit erhob das Gericht zwei der drei Grundsätze der IT-Sicherheit - Vertraulichkeit und Integrität von IT-Systemen - zu einem Grundrecht. Und dies bedeutet für Gesetzgeber und Exekutive auch eine Verpflichtung zur rechtlichen Umsetzung - zum Beispiel auch mit einem IT-Sicherheitsgesetz.
Umso mehr überrascht es, dass der Gesetzesvorstoß zum IT-Sicherheitsgesetz kein Problem löst, sondern neue schafft.