T. de Maizière: Ein brüllender Löwe wird zum Papiertiger

Was bringt das IT-Sicherheitsgesetz?

Seite: 3/4

Firmen zum Thema

Wenn die Technik nur bedingt schützt

Was aber ist nun angemessen oder Stand der Technik? Sandro Gaycken, Wissenschaftler der Freien Universität Berlin, meint: „Ein 50 Euro Virenscanner ist genauso Stand der Technik wie das milliardenteure Hochsicherheitsprogramm ‚CRASH‘ der Darpa (Behörde des US-Verteidigungsministeriums, Anm. d. Autors).“

Mit der Wendung „Stand der Technik“ hadert auch Henning Kahlert, Fachanwalt für Bank- und Kapitalmarktrecht und einer Promotion zur Datensicherheit bei der elektronischen Auftragsvergabe – er sagt mit Blick auf die Sicherheit der Kreditwirtschaft: „Ob damit ein Schutz gegen Angriffe vermieden werden kann, die dem ‚Stand der Technik‘ einen Schritt voraus sind, ist zu bezweifeln.“

Damit spielt Kahlert auf Lücken an, die zum gleichen Zeitpunkt oder eher ausgenutzt werden, bevor der Entwickler selbst sie bemerkt (s. Kasten). Am 27. August 2014 meldete die Nachrichtenagentur Bloomberg einen Angriff auf JPMorgan Chase & Co. Dabei sollen Gigabyte sensibler Daten von Mitarbeitern, Entscheidern sowie Kunden abgeflossen sein. Die US-Bundespolizei FBI glaubte, dass es sich um eine Vergeltungsmaßnahme wegen der US-Sanktionen gegen Moskau handelte.

Bei dem Angriff soll eine bislang unbekannte Lücke ausgenutzt worden sein. Der Börsenkurs der Bank soll anschließend um 15 US-Cent auf 59,59 US-Dollar zurückgegangen sein. Einen Trost hat Henning Kahlert wenigstens: „Das Ausnutzen bereits bekannter Sicherheitslücken muss durch diese Maßnahmen aber verhindert werden können.“

Dokumentations- und Meldepflichten

Was angemessen ist, scheint auch im Innenministerium selbst unklar zu sein – die Autoren des Gesetzentwurfs schreiben: „Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen“. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) werde diese Sicherheitsstandards „im Benehmen mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auf Antrag“ anerkennen.

Zur Überprüfung der Vorgaben sollen die Betreiber alle zwei Jahre ihre organisatorischen und technischen Vorkehrungen dokumentieren und dem BSI „eine Aufstellung der zu diesem Zweck durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel“ übermitteln.

Dem BSI sollen außerdem „Warn- und Alarmierungskontakte“ benannt werden: „Der Betreiber hat sicherzustellen, dass er hierüber jederzeit erreichbar ist.“ Diese Kontakte sollen dann „Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können, unverzüglich an das Bundesamt zu melden.“

Kritiker wenden ein, dass jede Phishing-Mail das betreffende informationstechnische System beeinträchtigen „kann“ – was tausende Meldungen bedeuten würde – pro Unternehmen und Tag. Immerhin: „Die Nennung des Betreibers ist für solche Meldefälle nicht erforderlich, sondern kann auch pseudonymisiert erfolgen.“ Da klatscht der Branchenverband Bitkom Beifall: „Damit werden Reputationsverluste für die Unternehmen vermieden, indem Vorfälle an die Öffentlichkeit gelangen.“

(ID:43037758)