Statement von Ralf Koenzen, Gründungsgesellschafter der LANCOM Systems GmbH, zum IT-Sicherheitsgesetz
„Ein machtvolles Instrument zur Stärkung unserer digitalen Souveränität“
Das Bundeskabinett hat gestern den ersten Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) beschlossen. Das Hauptziel des Gesetzes ist jedem bekannt: die IT-Sicherheit in kritischen Infrastrukturen auf ein verbindliches Mindestniveau zu heben.
Weniger bekannt ist die Tatsache, dass das IT-Sicherheitsgesetz auch die Grundlage für ein höheres Sicherheitsniveau der Verwaltungsnetze schaffen soll. Nicht etwa nur über Mindeststandards, sondern auch über die Möglichkeit gezielter Sicherheitsüberprüfungen von IT-Produkten, die in der öffentlichen Verwaltung zum Einsatz kommen sollen.
Eine solche Befugnis wäre ein absolutes Novum. Bis dato hatte das hierfür vorgesehene Bundesamt für Sicherheit in der Informationstechnik (BSI) keine Möglichkeit, die Sicherheit von IT-Produkten in der Tiefe zu überprüfen, ohne geltendes Recht zu brechen. Ein unhaltbarer Zustand, wenn man bedenkt, dass spätestens seit Bekanntwerden der Snowden-Enthüllungen gesunder Zweifel an der Vertrauenswürdigkeit bestimmter IT-Lösungen durchaus angebracht ist.
Das neue Gesetz soll unserer Regierung endlich die nötige Handhabe geben, um Produkte gezielt auf Backdoors und andere sicherheitsrelevante Schwachstellen hin zu untersuchen. Notfalls sogar über „Reverse Engineering“. Damit kann sie erstmals ihre Netze effektiv schützen und die digitale Souveränität – also die alleinige Selbstbestimmung über ihre Daten – sicherstellen. Das ist längst überfällig.
Allerdings sollten diese Überprüfungen ausschließlich durch das BSI selbst durchgeführt werden. Nur so kann die Unabhängigkeit der Ergebnisse gewährleistet und die nötige Vertraulichkeit gewahrt werden. Hierzu muss das BSI schnell personell besser ausgestattet werden, die entsprechenden Expertenstellen müssen geschaffen werden. Hier besteht also konkreter Handlungsbedarf – auch weil das BSI im Rahmen des IT-Sicherheitsgesetzes mit einigen weiteren Befugnissen und Aufgaben betraut wird. Nur so können die Absichten, die im IT-Sicherheitsgesetz formuliert wurden, auch in der Praxis greifen.
Bleibt zu hoffen, dass die Pläne zu den Sicherheitsüberprüfungen im weiteren parlamentarischen Verfahren nicht verwässert, sondern noch weiter konkretisiert werden. Bleibt ebenfalls zu hoffen, dass das BSI schnell die nötigen Ressourcen erhält, um die Überprüfungen auch wirklich in der Tiefe durchführen zu können.
Dann ist das erste deutsche IT-Sicherheitsgesetz viel mehr als ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in kritischen Infrastrukturen. Dann ist es ein machtvolles Instrument zur Stärkung unserer digitalen Souveränität.