Die rund 20 anwesenden CIOs und Top-IT-Entscheider bewerten das im Juli in Kraft getretene Gesetz zurückhaltend positiv. Zum einen lenke es endlich verstärkt Aufmerksamkeit auf den Bereich Cyber-Crime und trage so zu einem strikteren Vorgehen gegen Cyber-Kriminalität bei. Zum anderen wiesen die CIOs auf noch zu konkretisierende Rechtsverordnungen in dem Gesetz hin, in denen unter anderem genau festgelegt wird, in welchem Rahmen und mit welchen Auswirkungen Unternehmen und Organisationen der sogenannten kritischen Infrastruktur (Kritis) angehören, die Sicherheitsvorfälle an das Bundesamt für Informationssicherheit melden müssen.
Über die spezifischen Inhalte des Roundtables wurde aufgrund des sehr sensiblen Themas Vertraulichkeit vereinbart. Doch Voice, der Bundesverband der IT-Anwender e.V. nimmt zum IT-Sicherheitsgesetz Stellung.
IT-Sicherheitsgesetz ist dringend notwendig
Voice begrüßt das IT-Sicherheitsgesetz als einen ersten, dringend notwendigen Schritt. Es schafft die Grundlage für Standort- und Rechtssicherheit. Allerdings sollten möglichst zügig die entsprechenden Rechtsverordnungen formuliert und in Kraft gesetzt werden, damit das Gesetz nicht Hülle bleibt, sondern tatsächlich mehr Sicherheit schafft.
Das IT-Sicherheitsgesetz konzentriert sich in seiner heute vorliegenden Form praktisch ausschließlich auf die Verpflichtung der Unternehmen im Bereich kritischer Infrastrukturen (Kritis), bestimmte Sicherheitsstandards für ihre IT-Systeme zu gewährleisten und bei gravierenden Sicherheitsvorfällen diese den Behörden zu melden. Voice unterstützt dieses Vorgehen als einen ersten, dringend notwendigen Schritt.
Opferschutz und Vertraulichkeit
Eine dringende Präzisierung des Gesetzes bzw. der zugehörigen Rechtsverordnung betrifft jedoch die Details zum Opferschutz bzw. zur Gewährleistung der Vertraulichkeit von Ereignismeldungen. Dies ist eine zwingende Voraussetzung für das Entstehen einer ausreichenden Vertrauensbasis zwischen Unternehmen und Behörden und somit für die Akzeptanz und Wirksamkeit des Gesetzes.
Damit ein solches Vertrauen wachsen kann, muss genau geregelt werden, was die Behörden mit den Meldedaten im Einzelnen tun dürfen und wie sie sie schützen, so dass die durch Online-Kriminelle ohnehin schon geschädigten Unternehmen nicht noch Reputationsschäden erleiden. Als Vorbild sollten hier die geltenden Regelungen aus dem Strafrecht herangezogen werden.
Keine Regelungen für Internetdienstleister
Der vorliegende Gesetzentwurf beschränkt sich auf den Selbstschutz der Kritis-Unternehmen im Cyber-Raum, enthält jedoch keinerlei Regelungen zum Verhalten von Internetdienstleistern und zur Kommunikation im Internet. Das im Gesetz geforderte, hohe Schutzniveau ist für die Unternehmen nur dann zu vertretbaren Kosten darstellbar, wenn darüber hinaus allgemeine Regelungen zum Datenverkehr verabschiedet werden.
Missbrauch von Datenverbindungen
Voice fordert Regelungen zur Transparenz des Datenverkehrs. Um den Missbrauch von Datenverbindungen zu erschweren, muss die Verwendungen von Datenprotokollen und Verbindungsarten stärker reglementiert werden. So gibt es bislang keinerlei gesetzliche Einschränkungen zur Nutzung von Datenports, obwohl die derzeitigen Firewallkonzepte hierauf aufbauen.
Regelungen zur Verbesserung der Entdeckbarkeit fehlen
Des Weiteren fehlen Regelungen zur Verbesserung der Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking, Spionage etc. Die Verifikation und die minimale Gültigkeitsdauer von Internet-Adressen sowie die Rückverfolgbarkeit von Datenströmen sind weithin ungeregelt. Abgebildet auf den Autoverkehr würde dies heißen, dass ein Fahrzeugbesitzer Nummernschilder in beliebiger Anzahl am Kiosk erwerben und dann innerhalb von Sekunden jederzeit wechseln könnte, ohne sich illegal zu verhalten. Eine Verbrechensbekämpfung wäre so nahezu unmöglich. Im Cyber-Raum kommt die fehlende Gegenständlichkeit der Handlungen hinzu, was tendenziell eher stärkere Einschränkungen erforderlich macht.
Außerdem befürwortet Voice eine stärkere Einbindung von Software- und Service-Anbietern in gesetzliche Regelungen zur Cyber-Security. Zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwendungsunternehmen. Kritis-Unternehmen müssen dem BSI Sicherheitsvorfälle melden. Häufig liegt die Ursache dieser Sicherheitsvorfälle, die Risikoquelle also, aber in Fehlern in Standard-Software oder -services.
Zero Day Exploits
Die sogenannten Zero Day Exploits sind dafür ein beredtes Beispiel. Angreifer nutzen frisch entdeckte, noch nicht gepatchte Fehler aus, um in Anwendungssysteme einzudringen. Voice fordert deshalb den Gesetzgeber auf, diese ungleichen Berichtspflichten von Anwendern und Anbietern anzugleichen und auch Anbieter stärker in die Pflicht zu nehmen.
Unabhängig von der Diskussion zum IT-Sicherheitsgesetz wurde im Roundtable des CIO-Magazins auch über die Notwendigkeit einer noch stärkeren Vernetzung der Anwenderunternehmen in Sachen Security und Cyber-Risk gesprochen. Zwar gebe es einige Initiativen in diese Richtung, aber die Zusammenarbeit sollte noch weiter intensiviert werden.
Das Cyber Security Competence Center von Voice e.V.
Hier wird der IT-Anwenderverband Voice, der für seine Mitglieder mit dem Cyber Security Competence Center bereits eine Kooperations- und Austauschplattform erfolgreich umsetzt, verstärkt aktiv und den bestehenden Sicherheitsinitiativen Unterstützung bei der übergreifenden Vernetzung anbieten.