Zur
Diskussion um das IT-Sicherheitsgesetz
Die Aktivitäten
hinterher sind proportional
zum Quadrat der Tiefe des Brunnens,
in den das Kind vorher gefallen ist.
(Volksmund)
zum Quadrat der Tiefe des Brunnens,
in den das Kind vorher gefallen ist.
(Volksmund)
Nach
dem mutmaßlich islamistisch motivierten Hackerangriff auf den
französischen Fernsehsender TV5MONDE in der vergangenen Woche
war die Aufregung allerorten groß, und das Thema IT-Sicherheit
rückte einige Tage lang in den Mittelpunkt des öffentlichen
Interesses. In Beiträgen und Interviews des meist politischen
Personals war davon die Rede, dass IT-Systeme und Netze auch
hierzulande besser vor Angriffen geschützt werden müssten,
besonders dann, wenn sie zu den so genannten Kritischen
Infrastrukturen gehören,
und dass die heimischen Wirtschaftsunternehmen, vor allem die
mittelständischen, sich zu wenig um ihre IT-Sicherheit bekümmern
würden. Bis auf wenige Ausnahmen hatte man bei all diesen
öffentlichen Äußerungen den Eindruck, dass hier wieder einmal
Neuland
beackert wird und dass, wie meist von Politikern nach
öffentlichkeitswirksamen Vor- oder Unfällen, erst mal nach dem
Gesetzgeber gerufen wird, gerade so, als könne man den Tücken der
Technik und den Schwächen der Menschen mit Paragraphen begegnen.
Eine zentrale Position in diesen Argumentationslinien nimmt das von
der Bundesregierung beschlossene und derzeit in
parlamentarischer Abstimmung befindliche IT-Sicherheitsgesetz
ein. Bei dessen erster Lesung im Bundestag äußerte der zuständige
Innenminister de Maiziere den wirklich schönen
Law-and-Order-Satz: „Es gibt ein physisches Netz in Deutschland,
es gibt IT-Systeme,
die hier in Deutschland betrieben und angeboten werden. Sie
unterliegen dem deutschen Recht und damit können wir auch
Regeln für diese Systeme aufstellen."
Das IT-Sicherheitsgesetz in seiner jetzigen
Entwurfsfassung vermag genau das nicht. Es beschränkt sich vielmehr auf
lediglich drei Regelungspunkte, nach denen die Betreiber
kritischer Infrastrukturen verpflichtet werden sollen,
- ein Mindestniveau an IT-Sicherheit einzuhalten, wobei dessen Definition den jeweiligen Branchen selbst überlassen wird,
- die Erfüllung der selbst auferlegten Sicherheitsstandards unabhängig prüfen zu lassen und
- erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Ich
will mich nun nicht zu denen gesellen, die Kritik an Einzelaspekten
des Gesetzentwurfes üben; es ist schon hinreichend Kritik geübt
worden, etwa an der Meldepflicht, an der sich vor allem die
Unternehmen mit ihren Verbänden stören, oder am schwammigen
Begriff des „erheblichen Sicherheitsvorfalls“ oder daran,
dass staatliche Institutionen nicht vom Gesetz erfasst werden sollen.
Mir scheint vielmehr, dass dieses ganze Gesetzesvorhaben unnütz
ist und lediglich dazu geeignet, ein formales Feigenblatt abzugeben für die
praktische Unfähigkeit resp. Unwilligkeit der Protagonisten aus Staat und Wirtschaft, sich mit den wirklichen Problemen zu befassen.
Weniges
in der IT ist so unsexy wie Sicherheit - vielleicht noch
SAP-Programme. Überhaupt hat die Sexyness der IT seit der
Jahrtausendwende enorm abgenommen, einzig Apple wartet gegen den
allgemeinen Trend mit einigen Appeal versprühenden Produkten auf.
Alles andere ist Alltag geworden – ein Werkzeug eben, mal mehr mal
weniger nützlich, und vor allem: Es kostet. Nach zwei, drei
Jahrzehnten des massiven Aufrüstens bis in die 1990er Jahre hinein
herrscht inzwischen der Sparzwang auch in den IT-Abteilungen. Die
Folgen der Sparsamkeitsökonomie sind Auslagerungen,
Zusammenlegungen, Mehrfachnutzung von Ressourcen und
Personalkürzungen. Diese Einschätzung lässt sich u.a. anhand
folgender Entwicklungen der letzten Jahre nachvollziehen:
- das Internet als universeller Datenbus für nahezu sämtliche digitalen Dienste,
- Boom der Cloudservices und Renaissance des Rechenzentrums,
- integrierte Softwaresysteme, die als All-in-One-Lösungen möglichst alle Geschäftsprozesse eines Unternehmens erfassen sollen,
- Vernetzung aller technischen Gerätschaften.
Dass
all dies unsere Welt nicht sicherer macht, ist hinlänglich bekannt
und soll hier auch nicht weiter thematisiert werden. Was jedoch
thematisiert werden sollte, ist, dass in den IT-Abteilungen immer
weniger Personal immer komplexere Systeme und Prozesse zu managen
hat. Das wiederum gelingt nur, weil man die Systeme, natürlich mit
Unterstützung anderer Systeme, weitestgehend sich selbst überlässt
- Fliegen auf Autopilot gewissermaßen mit lediglich
prophylaktischen oder therapeutischen Eingriffen, nur dass im
Unterschied zu einem Flugzeug weder das automatisierte
Zusammenspiel der Systeme hinreichend getestet noch das Personal
zu deren Beherrschung hinreichend ausgebildet und geprüft
wurde. Wie stabil oder eher wie fragil eine solche Situation ist,
hängt wesentlich davon ab, ob die einzelnen Teilsysteme
überhaupt zusammen passen und sich miteinander vertragen und ob das
Gesamtsystem aus Technik, (baulicher) Infrastruktur und Personal
hinreichend robust gegenüber negativen äußeren und inneren (!)
Einflüssen ist.
Das
IT-Sicherheitsgesetz fordert von den Betreibern kritischer
Infrastrukturen, dass sie über das Management ihrer IT-Systeme und
-prozesse ein Sicherheitsmanagement
legen. Zwar ist dieser Begriff im Gesetzestext explizit nicht zu
finden, wird jedoch impliziert von der Forderung nach unabhängiger
Prüfung der Einhaltung der selbst auferlegten Sicherheitsstandards.
Im Entwurf der Bundesnetzagentur eines IT-Sicherheitskatalogs
für die Energieversorger, der in der Begründung des Gesetzentwurfes
ausdrücklich Erwähnung findet, wird denn auch von der Einführung
eines Sicherheitsmanagements und dessen Zertifizierung als
Kernforderung gesprochen. Nach den Erfahrungen mit der Durchsetzung
der gleichen Forderung der EU-Kommission an die EU-Zahlstellen sowie
mit dem ähnlich gearteten (nicht öffentlichen)
Umsetzungsplan Bund in den Behörden ist absehbar, wozu das führen wird:
- Das IT-Sicherheitsmanagement wird als Pflichtaufgabe angesehen und nur wegen des gesetzlichen Drucks eingerichtet. Wichtig wird allein sein, den „Zertifizierungsstempel“ zu bekommen, in dem man die formalen Kriterien erfüllt.
- Der IT-Sicherheitsbeauftragte erscheint als lästiger und lediglich Kosten verursachender Mitarbeiter. Die Stellenbesetzung folgt dem Peter-Prinzip. Eine Integration des Sicherheitsmanagements mit anderen Managementprozessen findet nicht statt.
- Wegen fehlender eigener personeller Ressourcen wird das Sicherheitsmanagement von Externen eingerichtet und betrieben, wobei zwar der jeweilige Branchenstandard eingehalten wird, die Besonderheiten des einzelnen Unternehmens aber unberücksichtigt bleiben und eine Verankerung in der Unternehmensstrategie ausbleibt.
- Die ausschließliche und dogmatische Umsetzung von zertifizierungsrelevanten Standardsicherheitsmaßnahmen führt zu erhöhten Kosten und damit zu sinkender Akzeptanz beim Unternehmensmanagement.
- Wie bereits von den deutschen Sicherheitsbehörden praktiziert, werden die Prüfungen und Zertifizierungen branchenintern ablaufen, d.h. innerhalb einer Branche (Energieversorger, Transport und Logistik etc.) wird man sich gegenseitig prüfen unter Berufung auf die jeweiligen Besonderheiten sowie den gemeinsamen Sicherheitsstandard. Damit können weder Objektivität noch Vergleichbarkeit gewährleistet werden.1
Das
IT-Sicherheitsgesetz wird so bestenfalls ein Mehr an formaler und konsensualer
Sicherheit bewirken, nicht jedoch für mehr Sicherheit der IT-Systeme
und Netze sorgen können. Diese betrifft es, anders als der Innenminister behauptet, überhaupt nicht.
Es
führt wohl kein Weg an der Erkenntnis vorbei, dass es eigentlich
darum gehen muss, die IT selbst sicherer zu machen und Produkte mit
weniger Fehlern und Schwachstellen auf den Markt zu bringen. Zum
Leidwesen der Nutzer aber ist eher die gegenläufige Tendenz zu
beobachten, dass nämlich aufgrund des Wettbewerbsdrucks sowie
verkürzter Innovationszyklen und Entwicklungszeiten IT-Produkte
oft ganz bewusst mängelbehaftet auf den Markt gebracht werden, um
dort erst bei ihrer Verwendung zu „reifen“. Auch dies eine Folge
der steigenden Komplexität der Produkte selbst. Um so
verwunderlicher ist es, dass der Gesetzgeber die Verantwortung für
die Sicherheit der kritischen Infrastrukturen einseitig auf die Seite
der Betreiber legen will. Und man darf wohl die Frage stellen,
weshalb die Hersteller von IT-Systemen, von Netzkomponenten oder von
Software in einem IT-Sicherheitsgesetz, das seinen Namen verdient
hätte, so gar keine Rolle spielen. Sollte man nicht annehmen, dass
die Hersteller von IT für deren Mängel, Schwachstellen oder
Fehlfunktionen sowie für die daraus resultierenden Folgeschäden in
Haftung genommen werden müssten? Sollten nicht eher Ausrüster
und Lieferanten von IT-Equipment für kritische
Infrastrukturen für dessen Sicherheit und die Einhaltung
gesetzlicher Mindeststandards verantwortlich gemacht werden?
In der
2007 im Auftrag des BSI von Prof. Spindler et al. (Uni Göttingen)
erstellten Studie
„Verantwortlichkeiten von IT-Herstellern, Nutzern und
Intermediären“ haben die Autoren die Problematik der
Produkthaftung im Bereich der IT beleuchtet – mit dem wenig
befriedigenden Ergebnis, dass hier Regelungslücken vorliegen.
Auf Seite 96 schreiben sie:
„Aus
rechtspolitischer Sicht sind insbesondere folgende Defizite zu
beklagen:
- die verschuldensabhängige Produkthaftung greift grundsätzlich nur bei Rechtsgutverletzungen ein; hier bestehen noch zahlreiche Unsicherheiten über die Reichweite. Insbesondere bei Vermögensschäden sowie Betriebsausfallschäden besteht die Gefahr, dass derartige Schäden nicht von der verschuldensabhängigen Produkthaftung erfasst werden,
- das Produkthaftungsrecht sieht grundsätzlich keine Pflichten vor, dass ein IT-Hersteller „Patches“ zur Verfügung stellt; er kann sich mit Warnungen begnügen,
- die Verantwortlichkeit für Schnittstellen zu anderen Programmen ist nach wie vor ungeklärt,
- Im verschuldensabhängigen Produkthaftungsrecht ist nach wie vor ungeklärt, ob Software als Produkt überhaupt erfasst wird. Zudem ist auch hier der Kreis der erfassten Schäden auf Eigentumsschäden bei Verbrauchern sowie Körperschäden allgemein begrenzt.“
Wenn aber die Produkthaftung schon nicht greift, dann sollte der Bund m.E.
Mindestkriterien für die Zulassung von IT-Produkten für kritische
Infrastrukturen erlassen, so wie dies im Bereich der
Ausweisdokumente mit einer Reihe
technischer
Richtlinien
bereits
der Fall ist.
1Auf
diese und weitere „Negativaspekte“ des Zertifizierungszwangs
hatte Adrian Altrhein von der TÜViT GmbH bereits 2008 in einem
Vortrag beim BSI aufmerksam gemacht.