Standardisierung in der IT-Sicherheit Gesetzeslage und Anforderungen an die IT-Sicherheit

Anbieter zum Thema

Arvato Systems

SEPPmail - Deutschland GmbH

Cohesity GmbH

Das Thema IT-Sicherheit betrifft im Rahmen der digitalen Transformation immer mehr Branchen und somit Menschen. Je breiter ein Marktumfeld wird, desto wichtiger wird eine umfassende Standardisierung, um sicherzustellen, dass Sicherheitsaspekten stets genügend Raum gegeben wird.

Standardisierung in der IT-Sicherheit muss von der Politik ermöglicht und angeführt werden, wie es auch bei der Standardisierung in anderen Sektoren geschieht. Doch die digitale Sphäre wandelt sich sehr schnell. in der Praxis ist es wichtig, dass dabei stets aktuelle IT-Security-Trends Beachtung finden und vorausschauend agiert werden kann. Das erschwert die Standardisierung auf politischem Wege enorm.

Eine Möglichkeit für die Lösung von derartigen branchenweiten Problemen sind traditionell Normen und Standards, wie sie hierzulande beispielsweise vom Deutschen Institut für Normung (DIN) oder auf internationaler Ebene von der ISO entwickelt werden.

Für IT-Anliegen im Hinblick auf die Sicherheit besteht insbesondere der „Arbeitsausschuss IT-Sicherheitsverfahren“ des DIN-Normenausschusses Informationstechnik (DIN-NIA). Normen für allgemeingültige Methoden und Techniken für die IT-Sicherheit gehören zum Aufgabenbereich des Ausschusses. Verschiedene Ziele wie etwa die Verbesserung der Sicherheit von IT-Systemen und Daten, aber auch der Vereinheitlichung für wirtschaftliche Interessen werden von den Normen verfolgt.

Normen werden besonders in der freien Wirtschaft häufig bevorzugt, da sie grundsätzlich keine juristische Grundlage haben und nicht verpflichtend sind, sondern völlig freiwillig eingehalten werden können. Das macht die Wirtschaft dynamischer und wirkt deregulierend. Im technischen Bereich gibt es so beispielsweise sogenannte Anwendungsregeln vom VDE Verband, welche ebenso freiwillig sind, aber den Anwendern im Problemfall Rechtssicherheit gewähren. Derartige Normen, wie etwa die Anwendungsregel N 4105, betreffen sowohl Hersteller als auch Privatpersonen, und schreiben vor, dass bei der Einrichtung der Hauselektronik oder von Photovoltaikanlagen auf bestimmte Anforderungen geachtet werden muss.

Es besteht auch im IT-Bereich ein größeres Interesse an solchen Normen, weshalb die DIN-NIA oder auch der VDE daran arbeitet. Doch im Rahmen der IT-Sicherheit wird häufig angesprochen, dass eher die Politik in der Pflicht stünde, hier umfassend einzugreifen.

Sicherheit de Jure

Es handelt sich dann also nicht um die Entwicklung empfehlenswerter Normen, die von Herstellern und Dienstleistern aus wirtschaftlichem Interesse freiwillig angewandt werden – sondern um die rechtliche Standardisierung durch Gesetze. Man sucht also im Grunde nach juristischen Lösungen für technische Probleme.

Dies ist prinzipiell nichts Neues, da bereits mehrere Gesetze für die Erleichterung und Verbesserung der IT-Sicherheit bestehen. Spätestens seit Inkrafttreten der DSGVO dürfte dies jedem Bürger des Europäischen Wirtschaftsraumes schmerzlich bewusst geworden sein. Erst im März letzten Jahres hat die Regierung beschlossen, mit dem IT-Sicherheitsgesetz 2.0 bereits bestehende Regularien zu vertiefen und zu erweitern, um der Entstehung neuer Gefahrenpotenziale durch die ständig fortschreitende digitale Transformation zu entgegnen.

Das klingt vielversprechend, denn im Grunde trifft der Beweggrund für die Erneuerung doch genau die Ursache immer neu entstehender Problemvektoren. Der ganzheitlichere Ansatz des Entwurfes für Version 2.0 soll zukunftssicher sein, da auch sämtliche öffentlichen Ports und IoT-Geräte mit einbezogen sind. Auch die Umfokussierung auf Privatpersonen und staatliche Sicherheit, nachdem das ursprüngliche IT-Sicherheitsgesetz 1.0 aus dem Jahr 2015 eher an die Betreiber und Hersteller kritischer Systeme gerichtet war, ist ein Schritt in die richtige Richtung.

Auch auf europäischer Ebene gibt es bereits großformatige Maßnahmen, die ähnliche Ziele verfolgen. Ebenfalls im Jahr 2019 trat der sogenannte EU Cybersecurity Act in Kraft. Dadurch wurde vor allem die Europäische Cybersicherheitsagentur ENISA gestärkt, indem ihr ein dauerhaftes Mandat als Instanz für die IT-Sicherheit in Europa und Zugang zu mehr Ressourcen zugesprochen wurden. Eine Aufgabe ist ebenfalls die Hilfestellung für Mitgliedsstaaten bei digitalen Angriffen und akuten Cyber-Sicherheitskrisen.

Schwierigkeiten für die Justiz

Doch leider sind bisherige Gesetze nicht die endgültige Lösung für alle Probleme. Eher zeigt die Entwicklung des Vorschlages, warum eine politisch angetriebene Behandlung digitaler Sicherheitsthemen mit inhärenten Schwierigkeiten daherkommt: Politik und somit Bürokratie arbeiten langsam, während sich die digitale Sphäre schnell, spontan und unvorhersehbar verändert.

Der ursprüngliche Entwurf wurde vom BMI im Frühjahr 2019 vorgelegt und sollte eigentlich innerhalb des ersten Halbjahres umgesetzt werden – doch mittlerweile steht dies für das erste Halbjahr 2020 im Raum. Selbst wenn dies klappt, wird vermutet, dass die Fristen für die Umsetzung der neuen Richtlinien bis 2022 dauern wird. Der Zeitraum zwischen der ersten Vorlage bis zur Implementierung wäre also wieder mindestens drei Jahre. Fast so lange also, wie das IT-SiG 1.0 angehalten hat, bevor eine umfassende Erneuerung notwendig wurde.

Ein Problem, mit dem gesetzliche Richtlinien bezüglich digitaler Technologien also immer hadern werden: Durch die politischen Prozesse, die hinter der Gesetzgebung stehen, ist es kaum möglich, mit der rasanten Geschwindigkeit, mit denen sich die Netztechnik entwickelt, schrittzuhalten.

Der aktuelle Stand der Technik

Um diese Schwierigkeit zu umgehen, nutzen die Gesetzestexte an vielen Stellen den Trick, spezifischere Definitionen auszulagern. Werden beispielsweise bestimmte Sicherheitsanforderungen gesetzlich vorgeschrieben, so werden nicht die technischen Aspekte direkt im Gesetzestext beschrieben. Stattdessen verweist dieser auf den „aktuellen Stand der Technik“, was je nach Kontext beispielsweise für die aktuellste Version einer bestimmten Norm stehen kann.

Dieser Umstand allein schafft es, derartigen Gesetzen überhaupt eine praktische Anwendbarkeit zu verleihen. Doch eine Schwierigkeit dabei ist, dass diese Lösung ihre Grenzen hat. Diese variable Begrifflichkeit kann nur etwa bestimmte Geräte, Anwendungsregeln oder Protokolle festlegen, die innerhalb eines gesetzlichen Rahmens als sicher für kritische Infrastrukturen anerkannt werden. Wenn jedoch neue Grundproblematiken auftreten, die im bestehenden Gesetzestext nicht vorgesehen waren, stößt der juristische Begriff an seine Grenzen.

Es besteht auch das Problem, dass sich die Gesetzeslage stets zu sehr auf den so häufig zitierten „aktuellen Stand der Technik“ verlassen muss. Die zuständigen Organisationen für Branchenstandards sind also auch bei der gesetzlichen Regelung in der Pflicht, mit ihren Normen am Puls der Zeit zu bleiben, um eine Effektivität der Gesetze in der Praxis zu garantieren. Die Gesetzgeber müssen also zwingend das Knowhow von Branchenverbänden nutzen, um Herausforderungen der Zukunft mit vorbeugenden Richtlinien zu begegnen.

Stärkung des BSI

Diese Aufgabe kommt laut der Vorlage 2.0 vermehrt dem BSI zu – diese Behörde erhält zukünftig mehr Befugnisse, um eine praxisorientierte Umsetzung der Regelungen zu garantieren. So ist sie für spezifische Anordnungen zur Einrichtung kritischer Infrastrukturen verantwortlich. Das stärkt insbesondere den Anspruch, dass gegenüber Betreibern kritischer Systeme besonders hohe Anforderungen an die Sicherheit geltend gemacht werden können. Ebenso sind Meldepflichten bei Cybercrime-Vorfällen vorgesehen, die Providern auferlegt werden können. So erhält das das Bundesamt die Kraft, Netzbetreiber direkter in die Karten zu schauen, wenn es zum Ernstfall kommen sollte. Im Hinblick auf die Zukunft der Netzpolitik rund um 5G und allen Schwierigkeiten, die dies mit sich bringt, ist das eine wichtige Grundlage für ein sicheres Kommunikationsnetz der Zukunft.

Im Rahmen der Überarbeitung 2.0 wird das BSI jedoch auch eine bürgernähere Behörde. Sie soll Befugnisse übernehmen, die bislang in das Einflussgebiet des Verbraucherschutzes fallen. Die Interessen privater Bundesbürger im Netz würden dadurch stärker vertreten und von einer Instanz mit direkterem Bezug zur digitalen Sphäre ausgeführt. Im Gesetzesentwurf (siehe unter 6. Weitere Gesetzesfolgen) ist die Rede von der „wachsenden Bedeutung der Cyber- und Informationssicherheit für Verbraucherinnen und Verbraucher“, die nicht zuletzt durch die steigende Vernetzung privater Haushalte und die Verbreitung vernetzter Verbraucherprodukte entsteht. Dieser Teil des Gesetzes ist also als Vorbereitung auf eine IoT-basierte Gesellschaft der Zukunft zu verstehen, wofür den Bürgern und Nutzern dieser Technologien das BSI als bürger- und verbraucherorientierte nationale Cybersicherheitsbehörde zur Seite gestellt wird.

Bestandsaufnahme

Allein die Tatsache, dass von der Gesetzgebung diese Themen immer stärker respektiert werden, ist ein gutes Zeichen. IT-Security ist bereits heute ein wichtiger Aspekt und wird in der Zukunft ein unausweichlicher Bereich sein. Gerade die Vorbereitung darauf, auf großflächige Cybercrime-Angriffe mit dem entsprechenden Knowhow und den nötigen Befugnissen reagieren zu können – mit der Stärkung des BSI respektive der ENISA – sind der richtige Ansatz.

Besonders die Herausforderungen für die Stellen, die für Standardisierung, Zertifizierung und Prüfung von Produkten verantwortlich sind, sind jedoch weiterhin ein Problemfaktor. Europaweite Zusammenarbeit mit einem Fokus auf Security-Trends, die allen Staaten die gleichen Voraussetzungen gibt, wäre ein Schritt, um der großen Dynamik auf dem Gebiet der IT-Bedrohungen auf Augenhöhe zu begegnen. Nur, wenn dieser Aspekt der Gesetzgebung mit den Entwicklungen von Angriffsvektoren großflächig Schritt halten kann, kann die Politik effektiv arbeiten. Verschärfungen von Gesetzen mit härteren Strafen sind daher fast wirkungslos, wenn dieser Gesichtspunkt vernachlässigt wird.

(ID:46390145)