IT-Sicherheitsgesetz und der Ruf nach mehr Staat

Das IT-Sicherheitsgesetz - rechtliche Hilfe vom Staat

Das IT-Sicherheitsgesetz gibt es schon seit Juli 2015. Es ist somit eigentlich ein alter Hut. Doch von dem vom BSI formulierten Ziel, die „IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“, sind wir immer noch Lichtjahre entfernt. Die Cyberkriminalität nimmt auf allen Ebenen zu, und die Schäden wachsen ebenfalls.

Wir müssen uns also darauf einstellen, dass Hackerangriffe und Schadsoftwares immer öfter ganze Bereiche lahm legen werden. Doch obwohl es gute Gesetze und viele technisch durchaus wirksame Verfahren für mehr IT-Sicherheit gibt, wird der Ruf nach dem Staat immer lauter. (Siehe Beitrag heise.de vom 04.11.2019 zu einer Umfrage des TÜV-Verband). Vor allem auf Seiten der Wirtschaft wächst der Wunsch nach mehr staatlichen Vorgaben, obwohl gerade diese sich normaler Weise gegen zu viel staatliche Einmischung vehement wehrt. Aber wie weit kann der Staat hier wirklich helfen?

Gesetzliche Rahmenbedingungen für mehr IT-Sicherheit

An den zu niedrigen gesetzlichen Vorgaben scheitert die Beseitigung der Sicherheitsprobleme ganz sicher nicht. Denn der Staat hat mit der DSGVO, Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und eben dem IT-Sicherheitsgesetz eine durchaus ordentliche rechtliche Basis geschaffen. Im Moment kämpft er eher mit zwei anderen Herausforderungen:

  1. Regelwerke werden gerade von den Unternehmen gerne erst einmal ignoriert und danach weder zeitnah noch sachgemäß umgesetzt.
  2. Der Staat hat nicht genügend Mittel zur Kontrolle und Sanktionierung bei diesen und anderen groben Verstößen.

Die Konsequenzen

Das führt zu folgenschweren Sicherheitslücken in IT-Landschaft bei Behörden und strukturell wichtigen Unternehmen. Dabei kann man fest damit rechnen, dass diese Lücken angesichts der wachsenden Bedrohungslage garantiert aufgedeckt und nicht selten katastrophale Folgen haben werden. Dann beklagt man zwar den materiellen und gesellschaftlichen Schaden, natürlich mit einem sich nahtlos anschließenden lautstarken Ruf nach härteren Zwangsmaßnahmen. Aber selten müssen die Verantwortlichen Konsequenzen wie z. B. empfindliche Bußgelder oder hohe Schadensersatzansprüche befürchten. Denn wo die Kontrollmechanismen versagen oder ganz fehlen, mangelt es an Umsetzungs- und Einhaltungsdruck. Also ist die Verlockung, Regeln zu ignorieren, zu verbiegen oder sogar wider besseren Wissens zu brechen, allseits zu groß.

Die erste Schlussfolgerung

Leider ist der Staat bei Ignoranz und Dummheit machtlos. Es bleibt nur, an die Vernunft zu appellieren oder den Druck auf die Unternehmen und staatlichen Organisationen zu erhöhen. Das ist ein mühsamer Prozess, aber jedes Unternehmen kann trotzdem sofort damit beginnen, die eigene IT-Landschaft in Schuss zu bringen und in Ordnung zu halten. Niemand hält irgendjemanden davon ab. Im Gegenteil, hier sind die bestehenden Gesetze durchaus sehr hilfreich. Deshalb wollen wir die wichtigsten Rechtsnormen noch einmal ins Gedächtnis rufen und auch das IT-Sicherheitsgesetz vorstellen.

Die DSGVO

Über die DSGVO haben wir bereits umfassend berichtet. Hier möchten wir nur noch einmal kurz darauf hinweisen, dass die vorgeschriebene Umsetzung der technischen und organisatorischen Maßnahmen, kurz TOM, bereits einen großen Beitrag zu mehr IT-Sicherheit leisten. Vorausgesetzt, sie werden nicht nur als lästiges Übel sondern als sinnvolle Notwendigkeit angesehen und entsprechend konsequent auf allen Ebenen eingehalten.

Das TMG und das TKG

Das Telekommunikationsgesetz begleitet uns seit 1996. Damals läutete es eine neue Ära ein, als der Staat das Monopol für Telekommunikationsdienstleistungen aufgab und damit den freien Anbietermarkt  ermöglichte. Zwischenzeitlich erfuhr das TKG mehrere Überarbeitungen. Die letzte aktuelle Version gilt seit Juli 2019. Im wesentlichen geht es hier um die Regulierung des TK-Marktes. Daher betrifft es hauptsächlich die Anbieter von Telekommunikationsinfrastruktur, wie z. B. Telekom, Vodafone/Kabel Deutschland, O2 etc. Darüber hinaus stärkt es als erstes IT-Gesetz auch die Rechte der Verbraucher. So müssen Anbieter von Rufnummern mit der Vorwahl 0180 und 0900 den Anrufern gegenüber exakte Kostenangaben machen. Zukünftige Änderungen betreffen den Ausbau digitaler Hochgeschwindigkeitsnetze. Wir werden sehen, wie gut der Staat hier seine Hausaufgaben nachholen kann.

Das Telemediengesetz ist etwas jünger. Seit Anfang 2007 begleitet es alle WebSite-Betreiber. Es führt erstmalig feste Regeln für die Impressumspflicht, die Bekämpfung von SPAM, Haftungsfragen der Betreiber und der Provider sowie den Datenschutz in Zusammenhang mit Online-Diensten ein. Es ist also für uns alle das „täglich Brot“ des eBusiness und sollte inzwischen in Fleisch und Blut übergegangen sein. Auch das TMG wurde inzwischen mehrfach überarbeitet. Die aktuelle Version trat im Juli 2019 inkraft. Die jüngste Anpassung betrifft übrigens den Datenschutz und regelt die Herausgabe von Nutzerdaten an Ermittlungsbehörden.

Das IT-Sicherheitsgesetz

In der jetzigen Version befasst sich das IT-Sicherheitsgesetz mit dem besseren Schutz von IT-Systemen sogenannter „Kritischer Infrastrukturen“, kurz Kritis genannt, vor Cyberattacken. Dazu gehören die Bereiche Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Also eigentlich fast alles, was unser Leben ausmacht. Wenn Ihr Unternehmen oder Ihre Organisation in einem dieser Sektoren arbeitet, sollten Sie das IT-Sicherheitsgesetz längst kennen und anwenden. Doch da die Anzahl der Cyberattacken täglich wächst und deren Heimtücke kaum nachlassen wird, lohnt sich für jeden von uns, die Anforderungen des Gesetzes besser zu kennen und in unser Risikomanagement einzubauen. Darüber hinaus steht eine neue Version IT-Sicherheitsgesetz 2.0 zur Diskussion. In dieser will man die Zielgruppe auf alle Wirtschaftsbereiche und Unternehmen ausweiten und die Sanktionen verschärfen. Insofern kommt der Staat dem Wunsch der Wirtschaft also durchaus nach.

Im aktuellen IT-Sicherheitsgesetz geht es darum, die Bereiche nachhaltig zu schützen, deren Ausfall oder Beeinträchtigung durch eine Cyberattacke laut BSI-Broschüre „dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland“ haben können. Das Ziel: Man will die IT-Sicherheit und deren nachhaltige Verfügbarkeit in Unternehmen und Bundesbehörden nachhaltig erhöhen.

Letztlich will der Staat damit erreichen, dass seine Bürger zukünftig besser vor den Folgen von Cyberattacken geschützt sind. Deshalb nimmt der Gesetzgeber auch Unternehmen stärker in die Pflicht, die mit den „Kritis“-Unternehmen zusammenarbeiten. Deshalb steht auch die Hauptforderung von Anfang an im Raum: Alle Unternehmen müssen kontinuierlich an ihrer IT-Sicherheit arbeiten, damit die Digitalisierung mit ihren segensreichen Erfindungen nicht zum Albtraum wird.

Unternehmen in der Pflicht

Uns stellen sich zwei Fragen. Erstens: Wie weit ist der Staat eigentlich verantwortlich für die IT-Sicherheit in einem Unternehmen? Und zweitens: kennen die IT-Verantwortlichen eigentlich die wichtigsten gesetzlichen Vorgaben wie z. B. das IT-Sicherheitsgesetz? Das wäre zumindest eine wichtige Voraussetzung, um die hochgesteckten Zieles des Gesetzes zu erreichen.

Die vorangegangenen Ausführungen über die einschlägigen IT-Gesetze zeigen: Der Staat hat schon eine ganze Menge getan. Er gibt auch im IT-Sicherheitsgesetz Hinweise auf die sogenannten technischen und organisatorischen Maßnahmen im Stand der Technik. Und er verweist auch hier auf die dringende Einhaltung des Datenschutzes.

Die „TOM“

Wir erinnern uns. Zu den technischen und organisatorischen Maßnahmen (nicht nur laut DSGVO) gehören:

  • Zutrittskontrollen (physikalische Maßnahmen gegen den Zutritt unbefugter Personen)
  • Zugangskontrollen (Verhinderung der Nutzung von IT-Anlagen durch unbefugte Dritte)
  • Zugriffskontrollen (Zugriff auf personenbezogene Daten nur durch authorisierte Personen)
  • Integrität (Schutz der personenbezogenen Daten vor Manipulation)
  • Verfügbarkeit (Schutz vor Verlust der Daten durch technische Störungen)

Technische Maßnahmen wie Verschlüsselung, Pseudonymisieren und Anonymisieren sowie der Einsatz von Signaturverfahren sollten in Ihrer Unternehmens-IT inzwischen zum Alltag gehören. (Schauen Sie sich sicherheitshalber noch einmal die Webinare des eBusiness Lotsen Berlin zum Thema „technische und organisatorische Maßnahmen“ an.)

Wichtigste Maßnahme: Konsequente Achtsamkeit und Weiterbildung

Allerdings helfen all diese technischen Maßnahmen nicht gegen die „Schwachstelle Mensch“. Denn darauf zielen die Cyberattacken wie Phishing, Emotet oder Social Hacking. Wenn Mitarbeiter E-Mails und deren Datei-Anhänge unbedarft und ungeprüft öffnen oder Zugangsdaten auf Druck an vermeintlich berechtigte Außenstehende herausgeben, dann liegt der Fehler im Management des Unternehmens. Hier hilft also nicht der Staat. Der kann lediglich mit gezielten Fördermaßnahmen vielleicht unterstützen. Aber gegen die eigentlichen Probleme gibt es einfache, wirksame Maßnahmen, die das Unternehmen selbst leisten kann: die Mitarbeiter schulen und zu mehr Achtsamkeit anhalten. Damit wäre das größte Sicherheitsrisiko gebannt.