IT-Sicherheit als Lebensader der Digitalen Gesellschaft

E-Commerce, E-Business, E-Government, E-Health, Smart Metering, Smart Grids, Smart Home, Smart Traffic; diese Liste des zunehmenden E-Life ließe sich verlängern. Die rasante Technologieentwicklung mit der Digitalisierung, Vernetzung und Automatisierung aller Lebens- und Wirtschaftsbereiche verändert die Art, wie wir leben, wie wir arbeiten, wie wir kommunizieren. Wenn nun große Teile unseres Lebens und Wirkens „im Netz“ stattfinden, sind wir umso mehr darauf angewiesen, dass die elektronische Kommunikation, die digitalen Geschäftsprozesse und alle automatisierten Abläufe reibungslos funktionieren. Daten, Programme, Güter und Informationen müssen für jeden Berechtigten verfügbar und gegenüber dem Zugriff Nichtberechtigter geschützt sein. Angriffe und Manipulationen, aber auch unbeabsichtigte Pannen müssen vermieden werden. Ist all dies nicht gewährleistet, mögen bestenfalls unwichtige Daten verloren gehen, im schlimmsten Fall droht ein „Blackout“ bzw. „Super-Gau“ in Folge eines Cyberangriffs auf kritische Infrastrukturen (Energienetze, die digitale Verkehrsinfrastruktur oder das vernetzte Gesundheitssystem). Schon 2013 formulierte der Koalitionsvertrag von CDU/CSU und SPD: „IT-Sicherheit wird zu einer wesentlichen Voraussetzung zur Wahrung der Freiheitsrechte“. In der Tat kann man IT-Sicherheit unter den Bedingungen weitgehender Digitalisierung nicht wichtig genug einstufen. IT-Sicherheit ist Lebenssicherheit, IT-Sicherheit ist die Lebensader der Digitalen Gesellschaft.

Unzureichender Ist-Zustand

Dem steht ein ernüchternder Befund gegenüber, den alljährlich das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zeichnet. Es konstatiert u. a. eine Anzahl schwerer Sicherheitslücken auf sehr hohem Niveau, unzureichendes Patchmanagement und den Einsatz veralteter Software, vor allem aber eine zunehmende Professionalisierung der Angriffe auf IT-Systeme, die durch offen agierende Anbieter von Werkzeugen zur Schaffung und Ausnutzung von Schwachstellen unterstützt wird, der sogenannten „Malware as a service“. Das BSI resümiert, dass „die Komplexität der Bedrohungslage ebenso wie die damit einhergehenden Gefahren für die fortschreitende Digitalisierung zunimmt. Die Frage der Sicherheit der eingesetzten Informationstechnik stellt sich damit nicht mehr nur nebenbei. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT Spezialisten. Vielmehr ist die Informationssicherheit wesentliche Vorbedingung für das Gelingen der Digitalisierung in Deutschland geworden.“

Das IT-Grundrecht

Wenn solchermaßen das Bedürfnis nach IT-Sicherheit auf eine faktische IT-Unsicherheit trifft, stellt sich die Frage nach Verantwortung, Haftung und Gewährleistung. Schnell kommt das sog. IT-Grundrecht in den Sinn, welches das Bundesverfassungsgericht in seinem Urteil vom 27. Februar 2008 („Online-Durchsuchung“) als Schwestergrundrecht zur informationellen Selbstbestimmung aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG hergeleitet hat. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme bildet zwei der drei prägenden Merkmale des Begriffs der IT-Sicherheit ab; daneben zählt dazu noch die Verfügbarkeit des IT-Systems und der darin gespeicherten Daten. Nach inzwischen herrschender Meinung ist das IT-Grundrecht, das auch eine Lesart als IT-Sicherheitsgrundrecht hat, nicht nur ein Abwehrrecht gegenüber unverhältnismäßigen Eingriffen in die Privatsphäre (wie eben durch die Online Durchsuchung), sondern begründet auch eine Schutzpflicht des Staates. Es versteht sich von selbst, dass das Begriffsmerkmal der „Gewährleistung“ hier nicht wörtlich verstanden werden kann. Informationstechnische Systeme wie das Internet mit seinen Servern und Clients, den angeschlossenen Subsystemen und Geräten sind derart komplex und Gefährdungsszenarien denkbar vielschichtig, sodass der Staat allenfalls ein Optimum an Funktionsfähigkeit und Sicherheit anstreben, in der Praxis aber letztlich nicht vollständig erreichen kann. So gilt es eher, regulatorische Rahmenbedingungen zu schaffen, in denen jene Akteure IT-Sicherheit bewerkstelligen können, denen auch das BSI eine Verantwortung zuspricht: die Unternehmen als Anbieter und Nutznießer von Informationstechnologien sowie die Bürger bzw. Verbraucher als Internetnutzer.

Unzureichender Schutz durch das IT-Sicherheitsgesetz

Nun möchte man meinen, eben jene Regulierung sei mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) getroffen worden, sodass bei aller IT-Unsicherheit zumindest Rechtssicherheit herrscht. Schaut man unterdessen genau hin, regelt das IT-Sicherheitsgesetz im Wesentlichen die Sicherheitsstandards für den Schutz sog. kritischer Infrastrukturen in ausgewählten Sektoren wie Verkehr, Gesundheit, Energie oder den Banken und Versicherungen (und dies auch nur mittels konkretisierender Rechtsverordnungen). Nur wenn Angriffe ein Ausmaß bekommen, dass der Ausfall oder die Beeinträchtigung dieser Infrastrukturen zu einem erheblichen Versorgungsengpass oder einer Gefährdung der öffentlichen Sicherheit führt, gelten bestimmte Schutzstandards, wie etwa eine Meldepflicht der betroffenen Unternehmen bei Störfällen oder die Pflicht zur Einhaltung branchenspezifischer Sicherheitsstandards. Mit dieser eher engen Fokussierung wurden Chancen zur Begründung eines wirksamen IT-Sicherheitsrechts versäumt. Der heutige Präsident des BSI, Arne Schönbohm (siehe das Interview im Wirtschaftsführer auf S. 2 ff.) verglich das IT-Sicherheitsgesetz bei seinem Erlass deshalb noch mit einem „zahnlosen Tiger“.

Haftungsrisiken für Unternehmen

Gerade für Unternehmen bedeutet die grassierende IT-Unsicherheit unterdessen erhebliche Haftungsrisiken. Diese reichen von Schadenersatz aus Delikt oder Vertrag über Bußgelder bei Datenschutzverstößen und Bieterausschluss bei öffentlichen Ausschreibungen bis hin zu Umsatzverlusten bei Industriespionage und schlechtem Rating (Basel II/III). Auch kann es zu Problemen mit Versicherungen (Solvency II) kommen. Auf Seiten der Softwarehersteller und IT-Dienstleister gibt es derzeit wenig Anreize, Perfektion bei ihren Produkten und Dienstleistungen im Hinblick auf Funktionsfähigkeit und Sicherheit anzustreben. Solange etwa IT-Leistungen nur „mittlerer Art und Güte“ gefordert werden und dies Mängel, Bugs und Entwicklungsdefizite einschließt, wird ein auf solchen minderwertigen Komponenten beruhendes IT-System mangelhaft, fehlerbehaftet und riskant bleiben. Solange der Markt nach solchen „Beta-Versionen“ verlangt, bekommt er sie auch.

Der Nutzer als Schwachstelle

Es sind freilich nicht nur die IT-Unternehmen, die mit ihren unsicheren Produkten und Dienstleistungen zu IT-Unsicherheit beitragen. Auch die Nutzer selbst sorgen als „Schwachstelle Mensch“ für eine – zum Teil durchaus vermeidbare – Gefährdung der IT-Systeme. Dies gilt insbesondere dann, wenn private Rechner über bekannte Schwachstellen („zero day exploits“) von sog. Botnetzen gekapert und etwa dazu missbraucht werden, Internetdienste lahmzulegen (sog. Denial-of-Service-Attacken). Anders als bei den professionellen Unternehmen kann man von „Otto Normalverbrauchern“ allerdings kaum erwarten, dass diese sich gegen perfide Angreifer wirksam zur Wehr setzen. Dass insoweit auch oftmals die vielbeschworene Medienkompetenz fehlt, ist auch ein Versäumnis des Staates. Zwar gibt es durchaus Hilfeangebote, wie etwa die Informationsplattform bsi-fuer-buerger.de. Ein umfassendes Programm für digitale Bildung im Bereich IT-Sicherheitsvorsorge fehlt aber. Dabei wäre es fragwürdig, dies unter einen Finanzierungsvorbehalt zu stellen oder als Bund einfach nur auf Zuständigkeiten der Länder im Schulwesen zu verweisen. Angesichts der eingangs konstatierten überragenden Bedeutung der IT-Sicherheit für alle digitalisierte Lebensbereiche verletzt der Staat das Untermaßverbot, wenn er auf einen Masterplan zur Umsetzung von IT-Sicherheit verzichtet. So wie von jedem Unternehmen zur Gewährleistung der Sicherheit ihrer Unternehmens-IT ein dokumentiertes IT-Sicherheitskonzept verlangt wird, ist zum Beispiel eine SWOT-Analyse (diese Abkürzung steht für die Analyse der Strengths (Stärken), Weaknesses (Schwächen), Opportunities (Chancen) und Threats (Bedrohungen) des Untersuchungsgegenstandes) der deutschen IT-Sicherheitsarchitektur unter Berücksichtigung auch der Nutzer und Nutznießer von IT unentbehrlich.

IT-Sicherheit muss „Chefsache“ werden

All dies kann letztlich nur erreicht werden, wenn IT-Sicherheit nicht nur zur Chefsache erklärt, sondern auch als solche behandelt wird. Die Wahlprogramme der Parteien zur weisen dies aus, sei es mit der Forderung nach einem „Staatsminister für Digitalpolitik“ im Bundeskanzleramt, sei es mit einem eigenen „Digitalministerium“, wie dies kürzlich für Nordrhein- Westfalen beschlossen wurde. Wenn diesen Ankündigungen auch Taten folgen und der hohen Bedeutung der IT-Sicherheit durch wirksame Maßnahmen auch Rechnung getragen wird, könnte dies zur Stabilisierung der IT-Systeme beitragen. Besonders erfolgversprechend wären insofern auch Investitionen in technische Werkzeuge des Selbstschutzes (security by design). Die Wissenschaft hat auch den Gemeinwohlauftrag, an der Konzeption und Umsetzung intelligenter Sicherheitssysteme mitzuwirken. Für Studierende sowohl der Informatik als auch des Rechts und der Wirtschaftswissenschaften ergeben sich glänzende Erfolgsaussichten, je nachdem, wie stark diese an dem einen oder anderen Standort solche Angebote wahrnehmen. Die Universität Passau bietet mit dem „Wissensnetzwerk Digitale Infrastrukturen, IT-Sicherheit und Recht für Unternehmen“ (www. baywidi.de), das von der Forschungsstelle für IT-Recht und Netzpolitik For..Net durchgeführt und vom Bayerischen Staatsministerium für Wirtschaft und Medien, Energie und Technologie gefördert wird, eine Grundlage für das notwendige Entstehen eines IT-Sicherheitsrechts.

Dieser Beitrag stammt aus unserem aktuellen Wirtschaftsführer.