Kritik am IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz ist fertig … und doch gibt es noch viel Diskussionsstoff. Unternehmen und Verbände waren hinzugezogen worden um den Entwurf zu beurteilen. Die Kritik war nicht gerade zurückhaltend.

Um es zusammenzufassen: Es ist ein Akt der Hilflosigkeit und des staatlichen Versagens!

Um eine Analogie zu bemühen:

Sie werden als Bürger verpflichtet – unter hohen Kosten und Auflagen – Straftaten an Ihnen selbst zu vermeiden. Wenn sie dann doch Opfer werden, müssen sie der Polizei den Vorfall bürokratisch melden. Eine Hilfe, einen Einsatz, eine Strafverfolgung etc. können sie aber nicht erwarten – die Polizei kommt ihnen nicht zu Hilfe! Das dürfen sie selbst organisieren und sich ggf. noch vom Staat selbst anklagen lassen! Wenn sie selbst Daten gesichert haben, steht ihnen vielleicht die Strafverfolgung zu, aber nur, wenn der Täter nicht im Ausland ist, dann ist diese nicht mehr zuständig…

Aktuell gibt es folgende Kritikpunkte:

  1. Umsetzungsfristen sind fraglich
    Der Staat als Betreiber nutzt heute noch Windows XP … erwartet aber von der Wirtschaft die Entwicklung, Zertifizierung und Einführung eines eigenen Standards in zwei Jahren. Das ist realitätsfern und nicht ambitioniert. Fachverbände wie eco gehen hier von eher 4 Jahren aus!
  2. Kostenabwälzung auf Unternhemen
    Der Staat an sich hat dem Bürger ein Sicherheitsversprechen gegeben, was er nicht gewillt ist einzuhalten. Die Preventionskosten und sogar die Kosten der Verfolgung und Schadensabwehr bürdet er den Unternehmen auf, ohne selbst ausreichend für die Gefahrenabwehr gerüstet zu sein. Die Polizei ist die Ordnungsmacht im realen Leben, wo ist diese Ordnungsmacht der Strafvereitelung im Internet? Der Staat versucht nicht einmal mehr diese Ordnungsmacht sicherzustellen, er kapituliert und zieht sich zurück. Er erwartet Meldung und führt Statistiken. Er baut Lagebilder obwohl die Bedrohungslage Gegenwehr erfordert. Doch diese Gegenwehr wird als Selbstjustiz erwartet!
    Das Gesetz soll bei Unternehmen ab 10 Mitarbeitern und einem Umsatz von mehr als 2 Millionen Euro greifen. Diese niedrige Schwelle trifft nahezu jedes Unternemen ohne einen Bezug zur IT. Diese Schwelle ist zu niedrig und unspezifiziert. Welches normale IT-ferne Unternehmen dieser Größe hat solch sicherheitsrelevante Daten? Wenn hier die New-Economy als Grundlage galt, dann sollte diese auch benannt werden und nicht sinnlos eine Auflage für alle Unternehmen erstellt werden. Hier muß konkretisiert werden!
    Des Weiteren ist der Aufwand und die Abgrenzung, die bei Meldung von Sicherheitsvorfällen auf die Unternehmen zukommen, kaum kalkulierbar. Eine Freude für die Rechtsindustrie, die bei solch schwammiger Gesetzeslage wieder teuer für “Klarheit” sorgen darf.
  3. Definition Sicherheitsvorfall?
    Zwar wurde hier bereits nachgebessert, aber dennoch könnte sich die jetzige Definition eines meldepflichtigen Sicherheitsvorfalls als unpraktikabel erweisen. Das dies auch Rechtsanwälte so sehen, lesen sie hier. Denn so sollen beispielsweise auch versuchte Angriffe den Behörden gemeldet werden. Wer jemals das Protokoll einer Firewall gesehen hat, weiß, dass solch eine Formulierung – hart ausgelegt – zur Meldung im Minutentakt führt! Um gesetztestreu zu agieren, müßte man sich damit auf die Meldungen und nicht mehr der Gegenwehr von Angriffen konzentrieren. Eine fragliche Forderung!
    Hier entsteht wieder ein Bürokratiemonster – oder Papiertiger, ohne Mehrwert. Wenn die Behörde in der Lage wäre aktiv zu helfen, wäre die Meldung ein Mehrwert für die Unternehmen! Sie würden aus Eigeninteresse die Hilfe anfordern. Diese Chance vertut der Staat, der sich als hilfloser Verwalter von Informationen geriert ohne diese zu verwerten oder gegenzusteuern.
    Allein die NSA-Afaire zeigt, dass es hier weniger um die Sicherheit an sich geht, sondern mehr um ein Lagebild der “Aktivitäten” gegen deutsche Unternehmen. Es wäre zielführender wenn das “Abwehrzentrum” hier technisch und auch personell in die Lage versetzt werden würde den Unternehmen hilfreich zur Seite zu stehen und der Staat seine Abschreckungs- und Ordnungsaufgabe übernehmen würde!
  4. Messen mit zweierlei Maß – die Bundesbehörden
    Auch hier wurde bereits nachgearbeitet und auch der Ausbau der IT-Sicherheit in der Bundesverwaltung soll nun stattfinden. Trotzdem ist es ein messen mit zweierlei Maß, wenn Bundesbehörden – die unstrittig über sicherheitsrelevante Daten verfügen  – und Unternehmen, bei denen dies eher fraglich ist, trotzdem ungleich behandelt werden. Der Staat übt hier keine Vorbildfunktion aus, sondern verlangt für sich eine unangemessen langsame Nachzüglerrolle! Wie kann es sein, dass das BSI seine eigenen Pflichten „kann“-Bestimmungen formuliert, wenn es bei den Unternehmen stets zu strammen Vorgaben neigt? Hier muß dringend nachgebessert werden. Der Staat hat die eigentlich schützenswerten Infrastrukturen. ER muß hier vornehmlich nachbessern – nicht der Handwerkerbetrieb von Nebenan!