Nach dem TV5MONDE-Hack

Zur Diskussion um das IT-Sicherheitsgesetz

Die Aktivitäten hinterher sind proportional
zum Quadrat der Tiefe des Brunnens,
in den das Kind vorher gefallen ist.
(Volksmund)

Nach dem mutmaßlich islamistisch motivierten Hackerangriff auf den französischen Fern­sehsender TV5MONDE in der vergangenen Woche war die Aufregung allerorten groß, und das Thema IT-Sicherheit rückte einige Tage lang in den Mittelpunkt des öffentlichen Inter­esses. In Beiträgen und Interviews des meist politischen Personals war davon die Rede, dass IT-Systeme und Netze auch hierzulande besser vor Angriffen geschützt werden müss­ten, besonders dann, wenn sie zu den so genannten Kritischen Infrastrukturen gehören, und dass die heimischen Wirtschaftsunternehmen, vor allem die mittelständischen, sich zu wenig um ihre IT-Sicherheit bekümmern würden. Bis auf wenige Ausnahmen hatte man bei all diesen öffentlichen Äußerungen den Eindruck, dass hier wieder einmal Neuland bea­ckert wird und dass, wie meist von Politikern nach öffentlichkeitswirksamen Vor- oder Unfällen, erst mal nach dem Gesetzgeber gerufen wird, gerade so, als könne man den Tücken der Technik und den Schwächen der Menschen mit Paragraphen begegnen. Eine zentrale Position in diesen Argumentationslinien nimmt das von der Bundesregierung be­schlossene und derzeit in parlamentarischer Abstimmung befindliche IT-Sicherheitsgesetz ein. Bei dessen erster Lesung im Bundestag äußerte der zuständige Innenminister de Mai­ziere den wirklich schönen Law-and-Order-Satz: „Es gibt ein physisches Netz in Deutsch­land, es gibt IT-Systeme, die hier in Deutschland betrieben und angeboten werden. Sie un­terliegen dem deutschen Recht und damit können wir auch Regeln für diese Systeme auf­stellen."

Das IT-Sicherheitsgesetz in seiner jetzigen Entwurfsfassung vermag genau das nicht. Es beschränkt sich vielmehr auf lediglich drei Regelungspunkte, nach denen die Be­treiber kritischer Infrastrukturen verpflichtet werden sollen,

1. ein Mindestniveau an IT-Sicherheit einzuhalten, wobei dessen Definition den jewei­ligen Branchen selbst überlassen wird,
2. die Erfüllung der selbst auferlegten Sicherheitsstandards unabhängig prüfen zu las­sen und 
3. erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informa­tionstechnik (BSI) zu melden.

Ich will mich nun nicht zu denen gesellen, die Kritik an Einzelaspekten des Gesetzentwur­fes üben; es ist schon hinreichend Kritik geübt worden, etwa an der Meldepflicht, an der sich vor allem die Unternehmen mit ihren Verbänden stören, oder am schwammigen Be­griff des „erheblichen Sicherheitsvorfalls“ oder daran, dass staatliche Institutionen nicht vom Gesetz erfasst werden sollen. Mir scheint vielmehr, dass dieses ganze Gesetzesvorha­ben unnütz ist und lediglich dazu geeignet, ein formales Feigenblatt abzugeben für die praktische Un­fähigkeit resp. Unwilligkeit der Protagonisten aus Staat und Wirtschaft, sich mit den wirklichen Problemen zu befassen.

Weniges in der IT ist so unsexy wie Sicherheit - vielleicht noch SAP-Programme. Über­haupt hat die Sexyness der IT seit der Jahrtausendwende enorm abgenommen, einzig Apple wartet gegen den allgemeinen Trend mit einigen Appeal versprühenden Produkten auf. Alles andere ist Alltag geworden – ein Werkzeug eben, mal mehr mal weniger nützlich, und vor allem: Es kostet. Nach zwei, drei Jahrzehnten des massiven Aufrüstens bis in die 1990er Jahre hinein herrscht inzwischen der Sparzwang auch in den IT-Abteilungen. Die Folgen der Sparsamkeitsökonomie sind Auslagerungen, Zusammenlegungen, Mehrfach­nutzung von Ressourcen und Personalkürzungen. Diese Einschätzung lässt sich u.a. an­hand folgender Entwicklungen der letzten Jahre nachvollziehen:

• das Internet als universeller Datenbus für nahezu sämtliche digitalen Dienste,
• Boom der Cloudservices und Renaissance des Rechenzentrums,
• integrierte Softwaresysteme, die als All-in-One-Lösungen möglichst alle Ge­schäftsprozesse eines Unternehmens erfassen sollen,
• Vernetzung aller technischen Gerätschaften.

Dass all dies unsere Welt nicht sicherer macht, ist hinlänglich bekannt und soll hier auch nicht weiter thematisiert werden. Was jedoch thematisiert werden sollte, ist, dass in den IT-Abteilungen immer weniger Personal immer komplexere Systeme und Prozesse zu ma­nagen hat. Das wiederum gelingt nur, weil man die Systeme, natürlich mit Unterstützung anderer Systeme, weitestgehend sich selbst überlässt - Fliegen auf Autopilot gewisserma­ßen mit lediglich prophylaktischen oder therapeutischen Eingriffen, nur dass im Unter­schied zu einem Flugzeug weder das automatisierte Zusammenspiel der Systeme hinrei­chend getestet noch das Personal zu deren Beherrschung hinreichend ausgebildet und ge­prüft wurde. Wie stabil oder eher wie fragil eine solche Situation ist, hängt wesentlich da­von ab, ob die einzelnen Teilsysteme überhaupt zusammen passen und sich miteinander vertragen und ob das Gesamtsystem aus Technik, (baulicher) Infrastruktur und Personal hinreichend robust gegenüber negativen äußeren und inneren (!) Einflüssen ist.

Das IT-Sicherheitsgesetz fordert von den Betreibern kritischer Infrastrukturen, dass sie über das Management ihrer IT-Systeme und -prozesse ein Sicherheitsmanagement legen. Zwar ist dieser Begriff im Gesetzestext explizit nicht zu finden, wird jedoch impliziert von der Forderung nach unabhängiger Prüfung der Einhaltung der selbst auferlegten Sicher­heitsstandards. Im Entwurf der Bundesnetzagentur eines IT-Sicherheitskatalogs für die Energieversorger, der in der Begründung des Gesetzentwurfes ausdrücklich Erwähnung findet, wird denn auch von der Einführung eines Sicherheitsmanagements und dessen Zer­tifizierung als Kernforderung gesprochen. Nach den Erfahrungen mit der Durchsetzung der gleichen Forderung der EU-Kommission an die EU-Zahlstellen sowie mit dem ähnlich gearteten (nicht öffentlichen) Umsetzungsplan Bund in den Behörden ist absehbar, wozu das führen wird:

• Das IT-Sicherheitsmanagement wird als Pflichtaufgabe angesehen und nur wegen des gesetzlichen Drucks eingerichtet. Wichtig wird allein sein, den „Zertifizierungs­stempel“ zu bekommen, in dem man die formalen Kriterien erfüllt.
• Der IT-Sicherheitsbeauftragte erscheint als lästiger und lediglich Kosten verursa­chender Mitarbeiter. Die Stellenbesetzung folgt dem Peter-Prinzip. Eine Integration des Sicherheitsmanagements mit anderen Managementprozessen findet nicht statt.
• Wegen fehlender eigener personeller Ressourcen wird das Si­cherheitsmanagement von Externen eingerichtet und betrieben, wobei zwar der je­weilige Branchenstandard eingehalten wird, die Besonderheiten des einzelnen Un­ternehmens aber unberücksichtigt bleiben und eine Verankerung in der Unterneh­mensstrategie ausbleibt.
• Die ausschließliche und dogmatische Umsetzung von zertifizierungsrelevanten Standardsicherheitsmaßnahmen führt zu erhöhten Kosten und damit zu sinkender Akzeptanz beim Unternehmensmanagement.
• Wie bereits von den deutschen Sicherheitsbehörden praktiziert, werden die Prüfungen und Zertifizierungen branchenintern ablaufen, d.h. innerhalb einer Branche (Ener­gieversorger, Transport und Logistik etc.) wird man sich gegenseitig prüfen unter Berufung auf die jeweiligen Besonderheiten sowie den gemeinsamen Sicherheits­standard. Damit können weder Objektivität noch Vergleichbarkeit gewährleistet werden.¹

Das IT-Sicherheitsgesetz wird so bestenfalls ein Mehr an formaler und konsensualer Sicherheit bewirken, nicht jedoch für mehr Sicherheit der IT-Systeme und Netze sorgen können. Diese betrifft es, anders als der Innenminister behauptet, überhaupt nicht.

Es führt wohl kein Weg an der Erkenntnis vorbei, dass es eigentlich darum gehen muss, die IT selbst sicherer zu machen und Produkte mit weniger Fehlern und Schwachstellen auf den Markt zu bringen. Zum Leidwe­sen der Nutzer aber ist eher die gegenläufige Tendenz zu beobachten, dass nämlich auf­grund des Wettbewerbsdrucks sowie verkürzter Innovationszyklen und Entwicklungszei­ten IT-Produkte oft ganz bewusst mängelbehaftet auf den Markt gebracht werden, um dort erst bei ihrer Verwendung zu „reifen“. Auch dies eine Folge der steigenden Komplexität der Produkte selbst. Um so verwunderlicher ist es, dass der Gesetzgeber die Verantwortung für die Sicherheit der kritischen Infrastrukturen einseitig auf die Seite der Betreiber legen will. Und man darf wohl die Frage stellen, weshalb die Hersteller von IT-Systemen, von Netzkomponenten oder von Software in einem IT-Sicherheitsgesetz, das seinen Namen verdient hätte, so gar keine Rolle spielen. Sollte man nicht annehmen, dass die Hersteller von IT für deren Mängel, Schwachstellen oder Fehlfunktionen sowie für die daraus resultierenden Folgeschäden in Haf­tung genommen werden müssten? Sollten nicht eher Ausrüster und Lieferanten von IT-E­quipment für kritische Infrastrukturen für dessen Sicherheit und die Einhaltung gesetzli­cher Mindeststandards verantwortlich gemacht werden?

In der 2007 im Auftrag des BSI von Prof. Spindler et al. (Uni Göttingen) erstellten Studie „Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären“ haben die Autoren die Problematik der Produkthaftung im Bereich der IT beleuchtet – mit dem wenig befrie­digenden Ergebnis, dass hier Regelungslücken vorliegen. Auf Seite 96 schreiben sie:

„Aus rechtspolitischer Sicht sind insbesondere folgende Defizite zu beklagen:

• die verschuldensabhängige Produkthaftung greift grundsätzlich nur bei Rechtsgutverlet­zungen ein; hier bestehen noch zahlreiche Unsicherheiten über die Reichweite. Insbe­sondere bei Vermögensschäden sowie Betriebsausfallschäden besteht die Gefahr, dass derartige Schäden nicht von der verschuldensabhängigen Produkthaftung erfasst werden,
• das Produkthaftungsrecht sieht grundsätzlich keine Pflichten vor, dass ein IT-Hersteller „Patches“ zur Verfügung stellt; er kann sich mit Warnungen begnügen,
• die Verantwortlichkeit für Schnittstellen zu anderen Programmen ist nach wie vor unge­klärt,
• Im verschuldensabhängigen Produkthaftungsrecht ist nach wie vor ungeklärt, ob Soft­ware als Produkt überhaupt erfasst wird. Zudem ist auch hier der Kreis der erfassten Schäden auf Eigentumsschäden bei Verbrauchern sowie Körperschäden allgemein be­grenzt.“

Wenn aber die Produkthaftung schon nicht greift, dann sollte der Bund m.E. Mindestkriterien für die Zulassung von IT-Produkten für kritische Infrastrukturen erlassen, so wie dies im Be­reich der Ausweisdokumente mit einer Reihe technischer Richtlinien bereits der Fall ist.

1Auf diese und weitere „Negativaspekte“ des Zertifizierungszwangs hatte Adrian Altrhein von der TÜViT GmbH bereits 2008 in einem Vortrag beim BSI aufmerksam gemacht.