Das IT-Sicherheitsgesetz gibt es schon seit Juli 2015. Es ist somit eigentlich ein alter Hut. Doch von dem vom BSI formulierten Ziel, die „IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“, sind wir immer noch Lichtjahre entfernt. Die Cyberkriminalität nimmt auf allen Ebenen zu, und die Schäden wachsen ebenfalls.
Wir müssen uns also darauf einstellen, dass Hackerangriffe und Schadsoftwares immer öfter ganze Bereiche lahm legen werden. Doch obwohl es gute Gesetze und viele technisch durchaus wirksame Verfahren für mehr IT-Sicherheit gibt, wird der Ruf nach dem Staat immer lauter. (Siehe Beitrag heise.de vom 04.11.2019 zu einer Umfrage des TÜV-Verband). Vor allem auf Seiten der Wirtschaft wächst der Wunsch nach mehr staatlichen Vorgaben, obwohl gerade diese sich normaler Weise gegen zu viel staatliche Einmischung vehement wehrt. Aber wie weit kann der Staat hier wirklich helfen?
Gesetzliche Rahmenbedingungen für mehr IT-Sicherheit
An den zu niedrigen gesetzlichen Vorgaben scheitert die Beseitigung der Sicherheitsprobleme ganz sicher nicht. Denn der Staat hat mit der DSGVO, Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und eben dem IT-Sicherheitsgesetz eine durchaus ordentliche rechtliche Basis geschaffen. Im Moment kämpft er eher mit zwei anderen Herausforderungen:
- Regelwerke werden gerade von den Unternehmen gerne erst einmal ignoriert und danach weder zeitnah noch sachgemäß umgesetzt.
- Der Staat hat nicht genügend Mittel zur Kontrolle und Sanktionierung bei diesen und anderen groben Verstößen.
Die Konsequenzen
Das führt zu folgenschweren Sicherheitslücken in IT-Landschaft bei Behörden und strukturell wichtigen Unternehmen. Dabei kann man fest damit rechnen, dass diese Lücken angesichts der wachsenden Bedrohungslage garantiert aufgedeckt und nicht selten katastrophale Folgen haben werden. Dann beklagt man zwar den materiellen und gesellschaftlichen Schaden, natürlich mit einem sich nahtlos anschließenden lautstarken Ruf nach härteren Zwangsmaßnahmen. Aber selten müssen die Verantwortlichen Konsequenzen wie z. B. empfindliche Bußgelder oder hohe Schadensersatzansprüche befürchten. Denn wo die Kontrollmechanismen versagen oder ganz fehlen, mangelt es an Umsetzungs- und Einhaltungsdruck. Also ist die Verlockung, Regeln zu ignorieren, zu verbiegen oder sogar wider besseren Wissens zu brechen, allseits zu groß.
Die erste Schlussfolgerung
Leider ist der Staat bei Ignoranz und Dummheit machtlos. Es bleibt nur, an die Vernunft zu appellieren oder den Druck auf die Unternehmen und staatlichen Organisationen zu erhöhen. Das ist ein mühsamer Prozess, aber jedes Unternehmen kann trotzdem sofort damit beginnen, die eigene IT-Landschaft in Schuss zu bringen und in Ordnung zu halten. Niemand hält irgendjemanden davon ab. Im Gegenteil, hier sind die bestehenden Gesetze durchaus sehr hilfreich. Deshalb wollen wir die wichtigsten Rechtsnormen noch einmal ins Gedächtnis rufen und auch das IT-Sicherheitsgesetz vorstellen.
Die DSGVO
Über die DSGVO haben wir bereits umfassend berichtet. Hier möchten wir nur noch einmal kurz darauf hinweisen, dass die vorgeschriebene Umsetzung der technischen und organisatorischen Maßnahmen, kurz TOM, bereits einen großen Beitrag zu mehr IT-Sicherheit leisten. Vorausgesetzt, sie werden nicht nur als lästiges Übel sondern als sinnvolle Notwendigkeit angesehen und entsprechend konsequent auf allen Ebenen eingehalten.
Das TMG und das TKG
Das Telekommunikationsgesetz begleitet uns seit 1996. Damals läutete es eine neue Ära ein, als der Staat das Monopol für Telekommunikationsdienstleistungen aufgab und damit den freien Anbietermarkt ermöglichte. Zwischenzeitlich erfuhr das TKG mehrere Überarbeitungen. Die letzte aktuelle Version gilt seit Juli 2019. Im wesentlichen geht es hier um die Regulierung des TK-Marktes. Daher betrifft es hauptsächlich die Anbieter von Telekommunikationsinfrastruktur, wie z. B. Telekom, Vodafone/Kabel Deutschland, O2 etc. Darüber hinaus stärkt es als erstes IT-Gesetz auch die Rechte der Verbraucher. So müssen Anbieter von Rufnummern mit der Vorwahl 0180 und 0900 den Anrufern gegenüber exakte Kostenangaben machen. Zukünftige Änderungen betreffen den Ausbau digitaler Hochgeschwindigkeitsnetze. Wir werden sehen, wie gut der Staat hier seine Hausaufgaben nachholen kann.
Das Telemediengesetz ist etwas jünger. Seit Anfang 2007 begleitet es alle WebSite-Betreiber. Es führt erstmalig feste Regeln für die Impressumspflicht, die Bekämpfung von SPAM, Haftungsfragen der Betreiber und der Provider sowie den Datenschutz in Zusammenhang mit Online-Diensten ein. Es ist also für uns alle das „täglich Brot“ des eBusiness und sollte inzwischen in Fleisch und Blut übergegangen sein. Auch das TMG wurde inzwischen mehrfach überarbeitet. Die aktuelle Version trat im Juli 2019 inkraft. Die jüngste Anpassung betrifft übrigens den Datenschutz und regelt die Herausgabe von Nutzerdaten an Ermittlungsbehörden.
Das IT-Sicherheitsgesetz
In der jetzigen Version befasst sich das IT-Sicherheitsgesetz mit dem besseren Schutz von IT-Systemen sogenannter „Kritischer Infrastrukturen“, kurz Kritis genannt, vor Cyberattacken. Dazu gehören die Bereiche Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Also eigentlich fast alles, was unser Leben ausmacht. Wenn Ihr Unternehmen oder Ihre Organisation in einem dieser Sektoren arbeitet, sollten Sie das IT-Sicherheitsgesetz längst kennen und anwenden. Doch da die Anzahl der Cyberattacken täglich wächst und deren Heimtücke kaum nachlassen wird, lohnt sich für jeden von uns, die Anforderungen des Gesetzes besser zu kennen und in unser Risikomanagement einzubauen. Darüber hinaus steht eine neue Version IT-Sicherheitsgesetz 2.0 zur Diskussion. In dieser will man die Zielgruppe auf alle Wirtschaftsbereiche und Unternehmen ausweiten und die Sanktionen verschärfen. Insofern kommt der Staat dem Wunsch der Wirtschaft also durchaus nach.
