Kommentar: Analystenunternehmen KuppingerCole kritisiert IT-Sicherheitsgesetz

(openPR) Wiesbaden, 20. März 2015 - KuppingerCole, ein europäisches Analystenunternehmen für Informationssicherheit und die digitale Transformation von Unternehmen, kritisiert das geplante IT-Sicherheitsgesetz, das heute im Bundestag beraten wird, scharf. Dieses Gesetz wird zu einer Reihe von Änderungen in bestehenden Gesetzen führen.
„Es steht außer Frage, dass es gesetzliche Regelungen braucht, um den Umgang mit Informationssicherheit zu verbessern“, so Martin Kuppinger, Gründer und Principal Analyst bei KuppingerCole. „Allerdings ist der Entwurf des IT-Sicherheitsgesetzes wenig geeignet, um dieses Ziel wirklich zu erreichen. Schon die Ausnahme von Behörden, aber auch die unscharfen Vorgaben sind grundlegende Konstruktionsfehler.“

Einer dieser Konstruktionsfehler ist laut KuppingerCole, dass der öffentliche Sektor ausgenommen ist. Das Gesetz definiert kritische Infrastrukturen in einer Positivliste, zu der die Behörden eben nicht gehören. KuppingerCole hat das Fehlen einer Meldepflicht für den öffentlichen Sektor schon im Zusammenhang mit der geplanten EU-Richtlinie für die Netz- und Informationssicherheit kritisiert.

Cyber-Attacken richten sich laut KuppingerCole keineswegs nur gegen die kritischen Infrastrukturen wie beispielsweise Energieversorger oder das Gesundheitswesen. Auch sollte darüber nachgedacht werden was passiert, wenn Angreifer an die Daten von Finanzämtern oder Einwohnermeldeämtern kommen oder Bundesbehörden angegriffen werden. Abgesehen davon, dass es auch dort wertvolle Informationen für Angreifer gibt und Teile der öffentlichen Verwaltung mit massiven Schäden auch für die Wirtschaft lahmgelegt werden könnten, fehlen damit auch Informationen über Angriffsszenarien, die helfen, auch in anderen Sektoren Schwachstellen zu erkennen und zu beseitigen.

Weniger kritisch sieht KuppingerCole dagegen die vielfach kritisierte unscharfe Ausgestaltung der Vorgaben im Gesetz. „Wie schon im Finanzsektor, sind auch hier konkrete Richtlinien zur Ausgestaltung vorgesehen.“, so Martin Kuppinger. „Das kann, wie mit der MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) gut funktionieren. Solche Richtlinien können auch viel schneller an neue Anforderungen angepasst werden.“

Viel problematischer ist aus Sicht von KuppingerCole dagegen, dass die Überprüfung der Erfüllung von Vorgaben höchst unscharf definiert ist. Martin Kuppinger meint dazu: „So wie die BaFin erfolgreich auch eine prüfende Rolle übernimmt, sollte das auch eine geeignete Behörde bei der IT-Sicherheit in kritischen Bereichen machen.“ Genau dort liegt allerdings einer der schwerwiegendsten Konstruktionsfehler des Gesetzes. Auf der einen Seite gibt das BSI Vorgaben, gleichzeitig soll es aber auch zur Informationssammelstelle werden, Informationen auswerten und Informationen an Betreiber liefern. Auf der anderen Seite kooperiert das BSI aber mit dem BND bei der Entwicklung des sogenannten Bundestrojaners, also einer Angriffswaffe auf Bürger und Organisation und ist auch dem Innenministerium gegenüber weisungsgebunden.

„Eine klare Aufgabentrennung ist unverzichtbar, also eine Aufspaltung des BSI oder die Schaffung einer neuen und vor allem unabhängigen Behörde“, meint Kuppinger dazu. Die Erstellung von Vorgaben und die Prüfung ihrer Durchsetzung muss nach KuppingerCole in jedem Fall von der Analyse der eingehenden Informationen und von Aufgaben, die im direkten Konflikt dazu stehen, getrennt werden. „Es gibt auf staatlicher Ebene das bewährte Prinzip der Gewaltentrennung und in Organisationen der Funktionstrennung – analoge Konzepte braucht es auch hier“ sagt Martin Kuppinger.

Schließlich müsste nach Sicht von KuppingerCole im Gesetz auch noch viel stärker verankert werden, dass es nicht nur um eine Meldung und vielleicht Veröffentlichung geht, sondern dass ein Kernzweck die schnelle Reaktion auf neue Bedrohungsszenarien und die gezielte Weiterleitung an die Unternehmen ist. Unabhängig davon, wie die konkret agierenden Behörden aussehen, wird die Umsetzung des IT-Sicherheitsgesetzes sowohl in Unternehmen als auch bei Behörden wie dem BSI massive Investitionen erfordern.

Journalisten können diesen Kommentar und alle weiteren KuppingerCole-Analysen kostenlos bei KuppingerCole anfordern. Um die Zusendung von Belegexemplaren oder Links zu Online-Publikationen bei Veröffentlichungen mit Bezug auf diese Artikel wird gebeten.