Gesetzeslage und Anforderungen an IT-Sicherheit in der Zukunft

Das Thema IT-Sicherheit betrifft im Rahmen der digitalen Transformation immer mehr Branchen. Je breiter ein Marktumfeld wird, desto wichtiger wird eine umfassende Standardisierung, um sicherzustellen, dass Sicherheitsaspekten stets genügend Raum gegeben wird.

IT-Sicherheit ist ein wichtiges Thema, das die Politik vor große Herausforderungen stellt. (Bild: Jonathan Schöps © Adobe Stock)

Dieser Vorgang muss von der Politik ermöglicht und angeführt werden, wie es auch bei der Standardisierung in anderen Sektoren geschieht. Doch die digitale Sphäre wandelt sich sehr schnell. in der Praxis ist es wichtig, dass dabei stets aktuelle IT-Security-Trends Beachtung finden und vorausschauend agiert werden kann. Das erschwert die Standardisierung auf politischem Wege enorm.

Normen, Standards und Gesetze

Eine Möglichkeit für die Lösung von derartigen branchenweiten Problemen sind traditionell Normen und Standards, wie sie hierzulande beispielsweise vom Deutschen Institut für Normung (DIN) oder auf internationaler Ebene von der ISO entwickelt werden.

Normen werden besonders in der freien Wirtschaft häufig bevorzugt, da sie grundsätzlich keine juristische Grundlage haben und nicht verpflichtend sind, sondern völlig freiwillig eingehalten werden können. Das macht die Wirtschaft dynamischer und wirkt deregulierend.

Im technischen Bereich gibt es so beispielsweise sogenannte Anwendungsregeln vom VDE Verband, welche ebenso freiwillig sind, aber den Anwendern im Problemfall Rechtssicherheit gewähren. Derartige Normen betreffen Hersteller, aber auch Privatpersonen, die zum Beispiel bei der Einrichtung der Hauselektronik oder von Photovoltaikanlagen auf bestimmte Anforderungen achten müssen.

Es besteht also ein großes Interesse an solchen Normen sowie generell an einer Erhöhung der Cybersicherheit in der IT, weshalb die DIN-NIA oder auch der VDE daran arbeitet. Doch im Rahmen der IT-Sicherheit wird häufig angesprochen, dass eher die Politik in der Pflicht stünde, hier umfassend einzugreifen.

Steigende Verantwortung für Selbstständige im IT-Bereich

Die immer höher werdenden Standards und Anforderungen sind vor allem für die Selbständigen der IT-Branche eine große Herausforderung. Denn auch sie müssen sich permanent über rechtliche Entwicklungen auf dem Laufenden halten. Zudem müssen sie die Normen, die ihre Arbeit betreffen, kennen und sich darüber hinaus auch im Klaren sein, inwieweit diese ihre Arbeit betreffen. Hier den Überblick zu behalten ist für Freischaffende wesentlich schwieriger als für große Unternehmen, die über speziell ausgebildete Rechtsexperten verfügen.

Rechtliche Standardisierung durch Gesetze, die dann auch eine allgemeine Gültigkeit haben, betreffen aber mit Inkrafttreten die gesamte Branche, ganz gleich, ob es sich um große Unternehmen oder Freiberufler handelt. Daher müssen es Rechtsprechungen schaffen, dieses breite Spektrum gleichermaßen abzudecken und eine Allgemeingültigkeit zu schaffen.

Juristische Lösungen für technische Probleme

Denn wenn konkrete Maßnahmen seitens der Politik umgesetzt werden, handelt es sich nicht mehr um empfehlenswerte Normen, die von Herstellern und Dienstleistern aus wirtschaftlichem Interesse freiwillig angewandt werden.

Dies ist prinzipiell nichts Neues, da bereits mehrere Gesetze für die Erleichterung und Verbesserung der IT-Sicherheit bestehen. Spätestens seit Inkrafttreten der DSGVO dürfte dies jedem Bürger des Europäischen Wirtschaftsraumes schmerzlich bewusst geworden sein.

IT-Sicherheit per Gesetz ist hochgradig wichtig, ist jedoch mit speziellen Problemstellungen verbunden. (Bild: lucid_dream © Adobe Stock)

In der Vergangenheit hat die Regierung beschlossen, mit dem IT-Sicherheitsgesetz 2.0 bereits bestehende Regularien zu vertiefen und zu erweitern, um der Entstehung neuer Gefahrenpotenziale durch die ständig fortschreitende digitale Transformation zu entgegnen.

Das klingt vielversprechend, denn im Grunde trifft der Beweggrund für die Erneuerung doch genau die Ursache immer neu entstehender Probleme. Der ganzheitlichere Ansatz des Entwurfes für Version 2.0 soll zukunftssicher sein, da auch sämtliche öffentlichen Ports und IoT-Geräte mit einbezogen sind.

Auch die Umfokussierung auf Privatpersonen und staatliche Sicherheit ist ein Schritt in die richtige Richtung, nachdem das ursprüngliche IT-Sicherheitsgesetz 1.0 aus dem Jahr 2015 eher an die Betreiber und Hersteller kritischer Systeme gerichtet war,

Auch auf europäischer Ebene gibt es bereits großformatige Maßnahmen, die ähnliche Ziele verfolgen. Ebenfalls im Jahr 2019 trat der sogenannte EU Cybersecurity Act in Kraft. Dadurch wurde vor allem die Europäische Cybersicherheitsagentur ENISA gestärkt, indem ihr ein dauerhaftes Mandat als Instanz für die IT-Sicherheit in Europa und Zugang zu mehr Ressourcen zugesprochen wurden. Eine Aufgabe ist ebenfalls die Hilfestellung für Mitgliedsstaaten bei digitalen Angriffen und akuten Cyber-Sicherheitskrisen.

Schwierigkeiten für die Justiz

Doch leider sind bisherige Gesetze nicht die endgültige Lösung für alle Probleme. Eher zeigt die Entwicklung des Vorschlages, warum eine politisch angetriebene Behandlung digitaler Sicherheitsthemen mit inhärenten Schwierigkeiten daherkommt: Politik und Bürokratie arbeiten langsam, während sich die digitale Sphäre schnell, spontan und unvorhersehbar verändert.

Der ursprüngliche Entwurf wurde vom BMI im Frühjahr 2019 vorgelegt und sollte eigentlich innerhalb des ersten Halbjahres umgesetzt werden – doch mittlerweile steht dies für das erste Halbjahr 2020 im Raum. Selbst wenn es klappt, wird vermutet, dass die Fristen für die Umsetzung der neuen Richtlinien bis 2022 dauern wird.

Der Zeitraum zwischen der ersten Vorlage bis zur Implementierung wäre also wieder mindestens drei Jahre. Fast so lange also, wie das IT-SiG 1.0 angehalten hat, bevor eine umfassende Erneuerung notwendig wurde.

Ein Problem, mit dem gesetzliche Richtlinien bezüglich digitaler Technologien also immer hadern werden: Durch die politischen Prozesse, die hinter der Gesetzgebung stehen, ist es kaum möglich, mit der rasanten Entwicklungsgeschwindigkeit schrittzuhalten.

Der aktuelle Stand der Technik

Um diese Schwierigkeit zu umgehen, nutzen die Gesetzestexte an vielen Stellen den Trick, spezifischere Definitionen auszulagern. Werden beispielsweise bestimmte Sicherheitsanforderungen gesetzlich vorgeschrieben, so werden nicht die technischen Aspekte direkt im Gesetzestext beschrieben. Stattdessen verweist dieser auf den „aktuellen Stand der Technik“, was je nach Kontext beispielsweise für die aktuellste Version einer bestimmten Norm stehen kann.

Dieser Umstand allein schafft es, derartigen Gesetzen überhaupt eine praktische Anwendbarkeit zu verleihen. Doch eine Schwierigkeit dabei ist, dass diese Lösung ihre Grenzen hat. Diese variable Begrifflichkeit kann nur etwa bestimmte Geräte, Anwendungsregeln oder Protokolle festlegen, die innerhalb eines gesetzlichen Rahmens als sicher für kritische Infrastrukturen anerkannt werden.

Wenn jedoch neue Grundproblematiken auftreten, die im bestehenden Gesetzestext nicht vorgesehen waren, stößt der juristische Begriff an seine Grenzen. Es besteht auch das Problem, dass sich die Gesetzeslage stets zu sehr auf den so häufig zitierten „aktuellen Stand der Technik“ verlassen muss. Die zuständigen Organisationen für Branchenstandards sind also auch bei der gesetzlichen Regelung in der Pflicht, mit ihren Normen am Puls der Zeit zu bleiben, um eine Effektivität der Gesetze in der Praxis zu garantieren.

Die Gesetzgeber müssen also zwingend das Knowhow von Branchenverbänden nutzen, um Herausforderungen der Zukunft mit vorbeugenden Richtlinien zu begegnen.

Gerade für IoT-Nutzer ist die Veränderung in der Struktur des BSI besonders interessant. (Bild: putilov_denis © Adobe Stock)

Stärkung des Bundesamtes für Sicherheit in der IT

Diese Aufgabe kommt laut der Vorlage 2.0 vermehrt dem BSI zu – diese Behörde erhält zukünftig mehr Befugnisse, um eine praxisorientierte Umsetzung der Regelungen zu garantieren. So ist sie für spezifische Anordnungen zur Einrichtung kritischer Infrastrukturen verantwortlich.

Das stärkt insbesondere den Anspruch, dass gegenüber Betreibern kritischer Systeme besonders hohe Anforderungen an die Sicherheit geltend gemacht werden können. Ebenso sind Meldepflichten bei Cybercrime-Vorfällen vorgesehen, die Providern auferlegt werden können.

So erhält das das Bundesamt die Kraft, Netzbetreiber direkter in die Karten zu schauen, wenn es zum Ernstfall kommen sollte. Im Hinblick auf die Zukunft der Netzpolitik rund um 5G und allen Schwierigkeiten, die dies mit sich bringt, ist das eine wichtige Grundlage für ein sicheres Kommunikationsnetz der Zukunft.

Im Rahmen der Überarbeitung 2.0 wird das BSI jedoch auch eine bürgernähere Behörde. Sie soll Befugnisse übernehmen, die bislang in das Einflussgebiet des Verbraucherschutzes fallen. Die Interessen privater Bundesbürger im Netz würden dadurch stärker vertreten und von einer Instanz mit direkterem Bezug zur digitalen Sphäre ausgeführt.

Im Gesetzesentwurf ist die Rede von der „wachsenden Bedeutung der Cyber- und Informationssicherheit für Verbraucherinnen und Verbraucher“, die nicht zuletzt durch die steigende Vernetzung privater Haushalte und die Verbreitung vernetzter Verbraucherprodukte entsteht. Dieser Teil des Gesetzes ist also als Vorbereitung auf eine IoT-basierte Gesellschaft der Zukunft zu verstehen, wofür den Bürgern und Nutzern dieser Technologien das BSI als bürger- und verbraucherorientierte nationale Cybersicherheitsbehörde zur Seite gestellt wird.

Bestandsaufnahme

Allein die Tatsache, dass von der Gesetzgebung diese Themen immer stärker respektiert werden, ist ein gutes Zeichen. IT-Security ist bereits heute ein wichtiger Aspekt und wird in der Zukunft ein unausweichlicher Bereich sein. Gerade die Vorbereitung darauf, auf großflächige Cybercrime-Angriffe mit dem entsprechenden Knowhow und den nötigen Befugnissen reagieren zu können – mit der Stärkung des BSI respektive der ENISA – sind der richtige Ansatz.

Europaweite Zusammenarbeit mit einem Fokus auf Security-Trends, die allen Staaten die gleichen Voraussetzungen gibt, wäre ein Schritt, um der großen Dynamik auf dem Gebiet der IT-Bedrohungen auf Augenhöhe zu begegnen. Nur, wenn dieser Aspekt der Gesetzgebung mit den Entwicklungen von Angriffsvektoren großflächig Schritt halten kann, kann die Politik effektiv arbeiten. Verschärfungen von Gesetzen mit härteren Strafen sind daher fast wirkungslos, wenn dieser Gesichtspunkt vernachlässigt wird.

 

 

Themenseiten: Gesetz, cybersicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Gesetzeslage und Anforderungen an IT-Sicherheit in der Zukunft

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *