Hürden nehmen für ein sicheres Internet
Deutschland soll, so sieht es die Digitale Agenda der Bundesregierung vor, digitales Wachstumsland Nr. 1 in Europa werden. Deutschland wird hierfür, so sieht es in der Realität aus, verschiedene Hürden nehmen müssen. Es gilt, sich neuen Geschäftsmodellen und Produktionsweisen zu öffnen, infrastrukturelle Grundlagen zu schaffen und verbindliche Standards zu setzen. Tradierte Prinzipien und Vorgehensweisen müssen neu – und digital – gedacht werden. Längst durchdringen Informationstechnologien Wirtschaft, Staat und Gesellschaft.
Anfang 2013 hatte die Bundesregierung nun den Gesetzentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) auf den Weg gebracht. Hiernach sind Betreiber Kritischer Infrastrukturen (KRITIS) dazu angehalten, IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und vorab definierte IT-Mindeststandards einzuhalten. Darüber hinaus entstehen erhebliche Aufwände durch regelmäßige Sicherheitsaudits sowie durch die Einrichtung einer ständig erreichbaren Kontaktstelle. So schätzte die Wirtschaftsprüfungsgesellschaft KPMG zuletzt die hierdurch jährlich entstehenden Bürokratiekosten für Betreiber Kritischer Infrastrukturen auf 1,1 Milliarden Euro.
Bundesinnenminister de Maizière ist indes davon überzeugt, dass das Gesetz einen Beitrag dazu leisten wird, die digitalen Infrastrukturen Deutschlands zukünftig als weltweit sicherste auszubauen. Besonders irreführend bei einem solchen Ziel dürfte jedoch sein, dass sich die Verwaltungen von Bund, Ländern und Kommunen bei der Umsetzung der Vorgaben des IT-Sicherheitsgesetzes ausnehmen. Es wird offenbar, dass es an politischem Willen, Ressourcen oder aber Kompetenzen fehlt, um die eingeforderten Standards selbst zu erfüllen.
Voraussetzungen für ausreichende IT-Sicherheit noch nicht geschaffen
Dass die Voraussetzungen für ein digitales Wachstumsland bisher nicht erfüllt sind, lässt sich auch anhand einiger Beispiele aus der jüngeren Vergangenheit nachzeichnen. So wurde im Dezember 2012 publik, dass es einem externen IT-Mitarbeiter des Bundesgesundheitsministeriums über Jahre hinweg gelungen war, vertrauliche Informationen zu stehlen und diese schließlich an Lobbyisten weiterzuverkaufen. Im Januar 2014 war bekannt geworden, dass kriminelle Hacker an mehr als 16 Millionen E-Mail-Adressen und Passwörter gelangt waren. Das BSI bot zu diesem Zeitpunkt an, online zu überprüfen, ob auch das eigene E-Mail-Konto von diesem Identitätsdiebstahl betroffen war. Resultat dieser Serviceangebots: Die Seite brach aufgrund der Überlastung der Server immer wieder zusammen. Das BSI geriet insbesondere in Kritik, da es bereits Wochen zuvor über den Datenklau informiert worden war. Die Weitergabe dieser Informationen verzögerte sich jedoch aufgrund datenschutzrechtlicher Bedenken und technischer Vorbereitungen, immens. Nicht zuletzt war auch eine Mitarbeiterin des Bundeskanzleramts zum Jahresende 2014 in die Schlagzeilen geraten, nachdem Sie durch den Anschluss eine USB-Sticks unwissentlich Malware von ihrem privaten Rechner auf den Dienstcomputer übertragen hatte. Der so eingeschleuste hochkomplexe Trojaner wird, so Expertenkreise, bereits seit 2008 eingesetzt, um Informationen von Regierungen, Firmen und Forschungsinstituten zu stehlen. Noch lange nicht können Deutschlands digitale Infrastrukturen als sicher gelten. Natürlich müssen Bund und Länder, die als Verwaltungen selbst zu den Kritischen Infrastrukturen gehören, aber als Benchmark für die Wirtschaft mit gutem Beispiel voran gehen.
Was passiert mit den eingehenden Sicherheitsmeldungen?
Es ist noch nicht einmal geklärt, was, nach Inkrafttreten des IT-Sicherheitsgesetzes, mit den eingegangenen Sicherheitsmeldungen passieren soll. Sicher ist indes, dass Rolle und Ressourcen des BSI, in Bezug auf Gefahrenabwehr, Auswirkungsprognose und Lagebildanalyse, ausgebaut werden sollen. Folglich wird das Bundesamt zukünftig nicht nur ein reines Mehr an Daten aufgrund der eingehenden Sicherheitsmeldungen generieren. Es soll auch die Möglichkeit bekommen, Warnungen bei Datenverlust oder unerlaubtem Zugriff auszusprechen. Eine effiziente Strafverfolgung im Cyberraum oder gar eine professionelle Unterstützung der angegriffenen Unternehmen sieht das Gesetz allerdings nicht vor. Die Bundesregierung schwankt im Hinblick auf mehr Sicherheit im Netz zwischen Aktionismus – sofern die Wirtschaft etwas tun soll – und latenter Schockstarre, sobald der Bereich der öffentlichen Verwaltung betroffen ist.
Was Deutschland wirklich braucht ist kein IT-Sicherheitsgesetz, das mehr Bürokratie schafft, sondern eine kohärente Cyber-Sicherheitsstrategie. Polizei und Justiz sollten nicht nur Notrufe aufgrund von Cyber-Einbrüchen entgegennehmen müssen, sondern auch gegen Intensivstraftäter ermitteln und ein gerechtes Strafmaß durchsetzen können. Eine stärkere Zusammenarbeit zwischen Forschung, Lehre, Politik und Wirtschaft muss forciert, international verbindliche Standards zu Datenschutz und Strafverfolgung müssen gesetzt werden. Das alles verlangt ein entschlossenes Vorgehen der Bundesregierung, denn für mehr Cyber-Sicherheit braucht es Führung, nicht Verwaltung.
Quellen:
KPMG, 2014: IT-Sicherheit in Deutschland. Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes, (zuletzt aufgerufen am 10.02.2015).
Handelsblatt:Datenklau schon seit Dezember bekannt(zuletzt aufgerufen am 10.02.2015).
