Das IT-Sicherheitsgesetz: Nicht Gesetze, sondern Menschen erhöhen die IT-Sicherheit

foto cc0 schloss sicherheit

Seit Ende Juli 2015 gilt das neue IT-Sicherheitsgesetz in Deutschland: das »Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme« betrifft die Betreiber »Kritischer Infrastrukturen«. Als »Einrichtung aus dem Sektor Telekommunikation, die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist«, zählen nach § 2 (10), auch die Fullservice-Internetprovider zu diesen Einrichtungen.

Meldepflicht an das BSI

Maßnahmen zur Erhöhung der IT-Sicherheit liegen sicherlich im öffentlichen Interesse. Ob das neue Gesetz das Netz jedoch wirklich sicherer machen wird, ist fragwürdig. Das Gesetz verlangt, dass jeder Angriff auf kritische Infrastrukturen dokumentiert und an das Bundesamt für Sicherheit (BSI) gemeldet werden muss: unabhängig davon, ob der Angriff erfolgreich war oder nicht.

An jedem einzelnen Tag, jeder Stunde und jeder Minute erfolgen IT-Angriffe unterschiedlichster Art. In einer Minute können Tausende Attacken gleichzeitig stattfinden: hierzu zählen (versuchtes) Einschleusen von Schadsoftware, Infizieren eines Benutzerrechners (Botnet), Phishing Mails sowie Denial-of-Service-Attacken. Doch nur jeder 1,76 Millionste Angriff muss wirklich ernster genommen werden (Quelle: SpaceNet AG, interne Berechnungen).

Nimmt man die Meldepflicht an das BSI wörtlich, führt dies zu einer enormen Flut an Mitteilungen über vermeintlich bedrohliche Vorfälle wie etwa dem Ausfall einer von zwei Firewalls, eines von zwei Virenscannern, dem Aussetzen einer Klimaanlage für drei Minuten oder des Stroms, wobei natürlich das Notstromaggregat anspringt. In all diesen Fällen handelt es sich dem Gesetz zufolge um einen Vorfall, der zu einer »Beeinträchtigung der Funktionsfähigkeit der (…) betriebenen Kritischen Infrastrukturen (…) führen (kann)«.

Möglicher Schaden

Ein weiterer Punkt im IT-Sicherheitsgesetz sieht vor, dass entsprechende Vorfälle in Zukunft nicht mehr nach ihrem tatsächlichen Schaden bewertet werden müssen, sondern nach dem, den sie möglicherweise angerichtet hätten. Dies führt in der Praxis zur Setzung falscher Prioritäten: Drohende Vorfälle mit theoretisch hohem Risiko erhalten potentiell eine höhere Dringlichkeit als Schäden, die sich bereits tatsächlich ereignet haben. Angesichts dieser unrealistischen Meldepflichten dürfte das IT-Sicherheitsgesetz in seiner jetzigen Form zu einem gewaltigen bürokratischen Overkill führen. Zudem ist äußerst zweifelhaft, wie die durch mögliche und geringe Störungen künstlich aufgeblähten Angriffszahlen ernsthafte Aussagen zur Gefahrenlage ermöglichen sollen.

Offensichtliche IT-Sicherheitsprobleme

Dabei gibt es durchaus einige ganz offensichtliche IT-Sicherheitsprobleme, für die es dringend ein Reglement bedürfte. So müssten, wenn etwa Kreditkartendaten entwendet werden, die Servicebetreiber das Problem zwingend zeitnah weitergeben. Hersteller von Software müssten verpflichtet werden, schnellstmöglich Abhilfe zu schaffen, wenn eine Sicherheitslücke bekannt wird. Und wenn der Rechner eines beliebigen Nutzers von einem Virus befallen wird und das Risiko besteht, dass er andere Rechner infiziert, so ist der Serviceprovider zu verpflichten, dafür zu sorgen, dass der Rechner entweder umgehend vom Virus befreit oder vom Netz genommen wird.

Ingenieure, Administratoren, Systemtechniker

Einige dieser Sicherheits-Defizite werden im Gesetz nur gestreift, stehen jedoch nicht im Fokus. In jedem Fall ist der Name des Gesetzes irreführend. Nicht Gesetze erhöhen die technische Sicherheit, sondern immer noch Menschen: Ingenieure, Administratoren, Systemtechniker. Diesen hoch qualifizierten Experten, die bei den Internet Providern täglich für ein Höchstmaß an Sicherheit sorgen, die Arbeit zu erleichtern, das wäre die geeignete Maßnahme zur Erhöhung der IT-Sicherheit in Deutschland.

Unabhängig vom Gesetzgeber bietet die beispielsweise die SpaceNet AG als verantwortungsbewusster und erfahrener ISO 27001-zertifizierter Internet-Serviceprovider kontinuierlich IT-Sicherheit auf höchstem Niveau: Die Daten sind innerhalb modernster Sicherheits- und Versorgungssysteme geschützt. Monitoring-Tools überwachen den Betrieb rund um die Uhr 365 Tage im Jahr, jeder Störfall wird sofort automatisch an die Stelle gemeldet, die sicherheitsrelevante Vorfälle sammelt und untersucht: den CISO (Chief Information Security Officer). Denn nur dieser kann schnell ermitteln, ob ein vielleicht harmloser Vorfall nicht doch Nebenwirkungen hat, die es zu untersuchen gilt.

Der Service Provider übernimmt somit auf Basis der ISO 27001 die Verantwortung dafür, dass die Daten der Kunden jederzeit maximalen Schutz bei höchster Ausfallsicherheit erhalten.