Am vergangenen Mittwoch verabschiedete das Bundeskabinett die „Digitale Agenda“. Diese soll das Rahmenpapier sein, was die Bundesregierung in der Politik mit dem Netz und dem digitalen Wandel tun möchte. Bereits am Tag davor jedoch ging der Bundesinnenminister Thomas de Maizière in die Offensive – mit einem Entwurf für ein IT-Sicherheitsgesetz. Ein Entwurf zur richtigen Zeit?
IT-Sicherheit ist ein überaus komplexes Feld, eines mit zunehmender Wichtigkeit. Dennoch blieb sie lange außerhalb politischer Diskussionen jenseits der Fachebene. Auf der einen Seite des Problems stehen die Anwender, die ihre Systeme – vom Computer bis zum Mobiltelefon – oft nicht wirklich verstehen, sich auf die eingebauten Sicherheitsmechanismen weitgehend verlassen müssen. Auf der anderen Seite Kriminelle und Spione, die sich solche Sicherheitslücken zu Nutze machen.
Die Zahl der Vorkommnisse im Bereich der IT-Sicherheit ist enorm, in den vergangenen Monaten beschäftigten gleich mehrere Skandale die Öffentlichkeit. Nicht nur die Spionagedebatte, auch kleinere Fische hatten große Wirkung: Mehrfach hatten Kriminelle große Datensammlungen angelegt, indem sie Zugangsdaten (in der Regel Nutzernamen und Passwörter) von unsicheren Systemen kopiert und gesammelt hatten, vermutlich mit dem Zweck, sie zu missbrauchen.
Warum ein IT-Sicherheitsgesetz?
In der Diskussion darum standen drei Akteure im Mittelpunkt: erstens die staatlichen Stellen. Vorneweg das Bundesamt für Sicherheit in der Informationstechnik (BSI), denn dieses soll nach Möglichkeit die IT-Sicherheit der deutschen Bürger, staatlicher Stellen und der Wirtschaft mit seiner Expertise unterstützen. Doch dort wurde zumindest in einem Fall monatelang nicht der Entschluss gefasst, die Öffentlichkeit zu informieren. Ob das daran lag, dass die Staatsanwaltschaft im niedersächsischen Verden ihr „Okay“ nicht gegeben hatte, die die Daten ursprünglich auf einem Server jenseits der Bundesrepublik vorgefunden hatte und eigentlich in einem ganz anderen Fall ermittelte oder an anderen Gründen, das ist bis heute unklar. Klar hingegen: von September 2013 bis Januar 2014 wussten die Betroffenen nicht, dass sie betroffen sind – und wurden auch nicht gewarnt. Hier bestand eine Interessenkollision: Warnen – und in Kauf nehmen, dass hierdurch auch die Verdächtigen gewarnt würden?
Zweitens die IT-Wirtschaft. Vor allem im Datensammel-Fall, der Anfang August bekannt wurde, steht im Raum, dass nicht auf dem aktuellen Stand der Technik befindliche Systeme bei Seitenbetreibern den Kriminellen in die Hände gespielt haben könnten. Darf so etwas sein? Oder ist da der Gesetzgeber gefordert? Auch die Frage, wie weit diese für die von ihnen den Nutzern bereitgestellten Systeme Updates bereithalten muss, gehört zu dem Gesamtproblem.
Drittens: die Nutzer. Auch bei ihnen liegt eine Teilverantwortung, ihre eigenen Systeme auf dem neuesten Stand zu halten und gewissen Grundschutzfunktionen wie Firewall und Antivirus-Software einzusetzen. Doch sind viele von ihnen vom technischen Wissen her kaum dazu befähigt, sich ernsthafte Gedanken um IT-Sicherheit zu machen. Zudem: die Hersteller schränken ihre Mitwirkungsmöglichkeiten ein, da viele der heutigen Endgeräte und der darauf laufenden Software sich faktisch der Kontrolle der Nutzer entziehen. Das gilt vor allem für Hardware wie Router, aber auch für Tabletcomputer und Smartphones.
Da liegt es nahe, ein IT-Sicherheitsgesetz in Angriff zu nehmen, dass kommerzielle Betreiber von IT-Infrastrukturen und die Hersteller in die Pflicht nimmt. Einen Entwurf dafür hat das Bundesinnenministerium dafür nun vorgelegt. Ob dieser inhaltlich taugt, zu kurz greift oder gar über das Ziel hinausschießt, werden die Diskussionen der kommenden Wochen zeigen. Doch an anderer Stelle gibt es ein Problem.
Parallele Prozesse auf Bundes- und EU-Ebene?
Denn schon seit Anfang 2013 wird auf EU-Ebene über eine entsprechende Netzwerk- und Informationssicherheitsrichtlinie (NIS) beraten und verhandelt. Diese befindet sich derzeit in der Abstimmung zwischen Europäischem Parlament, Europäischer Kommission und Europäischem Rat – also den Mitgliedstaaten. Wenn diese dann kommt, womit recht bald zu rechnen ist, müsste Deutschland sein neues IT-Sicherheitsgesetz wieder an diese Richtlinie anpassen. Ob es also sinnvoll ist, ein eigenes IT-Sicherheitsgesetz wenige Monate vor der erwarteten Verabschiedung des zugehörigen EU-Rahmenrechts vorzunehmen? Zweifel sind zumindest angebracht.
