Wichtiger Schritt: IT-Sicherheitsgesetz verabschiedet

Veröffentlicht am: 16. Juni 2015 Autor: Ralf Koenzen Veröffentlicht in Allgemein 2 Kommentare

IT-sicherheitsgesetz kommtEin wichtiger Schritt zu mehr digitaler Souveränität ist geschafft! Letzten Freitag wurde das „1. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ vom Bundestag verabschiedet. Aber hat das Gesetz tatsächlich genug „Substanz“, um uns besser vor den Gefahren des Cyberraums zu schützen?

Neben der vieldiskutierten Meldepflicht enthält das Gesetz vor allem zwei Komponenten, die das IT-Sicherheitsniveau nachhaltig anheben sollen: die Stärkung der Bundesamts für Sicherheit in der Informationstechnik (BSI) und die Einhaltung eines Mindestniveaus an IT-Sicherheit.

Das BSI wird zukünftig befugt sein, die Sicherheit von IT-Produkten zu überprüfen, an deren Vertrauenswürdigkeit Zweifel bestehen. Damit kann das BSI erstmals Produkte auch gegen den Willen der Hersteller zum Beispiel gezielt auf Backdoors untersuchen – notfalls sogar über „Reverse Engineering“ –, ohne dabei gegen geltendes Recht zu verstoßen. Gegen diesen Passus hatte es große Widerstände von ausländischen Anbietern gegeben und ich bin sehr froh, dass er den parlamentarischen Prozess unbeschadet überstanden hat.

Auch gibt es Stimmen, die eine hervorgehobene Rolle des BSI kritisieren und in Frage stellen, ob die Behörde die geschürten Erwartungen erfüllen kann. Hier ist unsere Regierung gefragt und muss die Eigenständigkeit des BSI etablieren. Gleichzeitig muss das BSI personell so ausgestattet werden, dass es seine neuen Kompetenzen vollumfänglich wahrnehmen kann. Sonst bleibt es am Ende nur ein zahnloser Tiger.

Im Fokus des Gesetzes stehen vor allem die Betreiber kritischer Infrastrukturen (KRITIS). Diese müssen spätestens zwei Jahre nach Inkrafttreten des Gesetzes ein Mindestniveau an IT-Sicherheit gewährleisten. Hier fehlt für mein Dafürhalten eine genauere Definition, woran sich die Betreiber zu halten haben. Der Ermessensspielraum ist sehr weit gefasst. Hier könnte ich mir ebenfalls das BSI als „Tonangeber“ vorstellen. Eine vernünftige Vorgabe wäre zum Beispiel, zumindest in kritischen Bereichen den Einsatz von BSI zertifizierten oder geprüften und als unbedenklich eingestuften Produkten und Lösungen vorzuschreiben. Das würde ganz nebenbei den Wert dieser Zertifikate erhöhen, was wiederum die Anbieter zertifizierter Produkte stärken würde.

Ein fader Beigeschmack bleibt allerdings. Getreu dem Motto „Mit gutem Beispiel vorangehen“ müssten die Mindeststandards für IT-Sicherheit auch auf die öffentliche Verwaltung angewandt werden. Leider sieht das IT-Sicherheitsgesetz dies nicht vor. Der „Super-Gau“ des Netzwerks des Bundestags zeigt allerdings: Selbst dort, wo hohe Sicherheitsvorkehrungen notwendig sind, werden diese offenbar nicht immer konsequent umgesetzt.

Alles in allem bin ich von dem Gesetz angetan und kann es nur befürworten. Nun haben wir nach langer Wartezeit endlich ein erstes Gesetz, das dabei helfen kann, die für unsere Daseinsvorsorge kritischen Anbieter – Versorger, Finanzwirtschaft, Gesundheitswesen etc. – robuster gegen Cyberangriffe zu machen und unsere digitale Souveränität zu stärken. Natürlich bedarf das Gesetz einer regelmäßigen Revision, damit sichergestellt wird, dass es effizient und auch zukunftsfähig ist. Ich würde mich freuen, wenn die Bundesregierung auch weiterhin Initiative beim Thema IT-Sicherheit zeigt und sich noch stärker engagiert!

Verwandte Posts

  1. […] war es, als das erste „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ in Kraft trat. Im Fokus damals ganz klar: der Schutz kritischer Infrastrukturen – also all jener […]

  2. […] Ebenfalls im Kampf gegen Backdoors wurde darin erstmals die Möglichkeit geschaffen, Quellcodes sogar mittels Reverse Engineering legal auf versteckte Abhörschnittstellen zu überprüfen. Doch auch dieser Trumpf – durchgesetzt gegen engagierte […]

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.