Am Dienstag, den 13. Januar diskutierten Politik und Wirtschaft über das IT-Sicherheitsgesetz, welches derzeit von der Bundesregierung erarbeitet wird.
Parallele Gesetzgebungsverfahren in Deutschland und der EU
Zwei Gesetzgebungsverfahren ein Thema, ein klares Dilemma: Am 17. Dezember 2014 hat Bundesinnenminister Thomas de Maizière seinen Kabinettsentwurf für ein IT-Sicherheitsgesetz vorgestellt. Gleichzeitig gibt es laufende Trilog-Verhandlungen auf EU-Ebene für eine „Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-Richtlinie)“. Doch Geräte, die mit dem Internet verbunden sind, welche qua per Definition fernab von nationalen Grenzen funktionieren und benutzt werden, können nicht national gedacht werden.
Daher forderte Oliver Süme, eco Vorstand Politik & Recht und Präsident des europäischen Providerdachverbands EuroISPA, dass die deutsche Bundesregierung hier nicht mit einem Alleingang vorpreschen solle, um Rechts- und Planungssicherheit für Unternehmen zu garantieren. Dagegen setzte Alexander Meißner, Referent für Telekommunikationsrecht im Bundesinnenministerium, dass sich das BMI durchaus dieser Herausforderung bewusst sei. Doch mit Blick auf die „diskontinuierliche Arbeit“ der EU, u.a. wegen des halbjährlichen Wechsels der Ratspräsidentschaft, will die Bundesregierung nicht länger warten. Mit dem nationalen IT-Sicherheitsgesetz sollen schnell Fakten geschaffen und Anstöße für die EU-Richtlinie gegeben werden.
Kritische Infrastruktur – KRITIS
Worüber sich die Vertreter des eco und des Innenministeriums einig waren: Kritische Infrastruktur (KRITIS) muss höchsten Ansprüchen an IT-Sicherheit gerecht werden und die Anbieter sind entsprechend in die Pflicht zu nehmen. Aber da hört die Einigkeit auch schon auf, denn an welchem Punkt fängt kritische Infrastruktur an? Geht es wie im Thriller „Das System“ von Karl Olsberg zu, dann lässt sich aus der kritischen Infrastruktur nichts ausnehmen. Jede Rechenkapazität, die in irgendeiner Weise mit dem Internet verbunden ist, kann Teil eines Bot-Netzes werden, welches dann für einen Angriff auf lebenswichtige Infrastruktur Rechenkapazität zur Verfügung stellt.
Das BMI will mit dem IT Sicherheitsgesetzt über die Zielgruppe KRITIS hinausgehen. Meißner sagt, dass dem Innenminister de Maizière die „Sicherheit des einzelnen Bürgers“ sehr wichtig sei: Daher soll jeder kommerzielle Anbieter einer Webseite oder eines Webshops darauf verpflichtet werden, seine Angebote nachhaltig sicher zu gestalten.
Lösungsvorschlag: Sicherheit per default
Wir meinen, dass IT die mit dem Internet verbunden wird (vom WLAN Router über den Fernseher und Kühlschrank bis zu Notebook und Server) grundsätzlich und automatisch mit Sicherheitsupdates versorgt werden muss, um ein Mindestmaß an IT-Sicherheit zu erreichen. Die Anzahl internetfähiger Geräte pro Person steigt stetig an. Die Industrie, die davon profitiert, muss in die Pflicht genommen werden.
Elektronische und elektrische Geräte haben hierzulande eine zweijährige Garantiepflicht. Eine Verpflichtung Sicherheitsupdates für mind. 3-5 Jahre bereitzustellen, sollte auch für die Software und Geräte gelten.
Wenn Sicherheitslücken bekannt werden, sollten die Hersteller dazu verpflichtet sein, Patches nicht nur zur Verfügung stellen, sondern die Software per default (automatisch) aktualisieren. Es kann nicht sein, dass Firmen Geräte und Software verkaufen, das Geld einstecken und die Käuferinnen und Käufer dann mit etwaigen Sicherheitsproblemen der Software und Geräte allein lassen!