IT-Sicherheit – ein neues Rechtsgebiet im Entstehen

Wahljahre sind aus Sicht des Gesetzgebers Winterschlussverkaufs-Jahre. Alles muss raus, bevor nichts mehr geht. Gesetzentwürfe, die bis Mitte Februar 2017 nicht das Bundeskabinett passiert haben, können bis zum Ende der Legislaturperiode nicht mehr vom Bundestag beschlossen werden. Und weil mit der Bundestagswahl gesetzgeberisch alles „auf null“ gesetzt wird (sog. Diskontinuität), erleben wir gerade ein außerordentlich produktives Kabinett.

Ein Ergebnis ist der am vergangenen Mittwoch verabschiedete Gesetzentwurf zur Umsetzung der EU-Richtlinie über „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ (kurz NIS-RL). Mit dem Entwurf wird nach dem schon 2015 in Kraft getretenen IT-Sicherheitsgesetz der zweite wichtige regulatorische Pfeiler der IT-Sicherheitsstrategie der Bundesregierung errichtet. Beide zusammen betrachtet bedeuten nichts weniger als die Begründung eines grundlegend neuen Rechts- und Regulierungsrahmens inklusive einer einflussreichen Aufsichtsbehörde.

Dass IT-Sicherheit für Unternehmen, aber auch staatliche Institutionen und letztlich jeden einzelnen Nutzer zu einer zentralen Herausforderung geworden ist, ist im Grunde schon seit Jahren eine Binsenweisheit. Für Cloud-Anbieter wie Microsoft ist der Sicherheitsaspekt heute eines der wichtigen Verkaufsargumente – gerade im Geschäft mit anderen Unternehmen. Unsere Kunden, viele davon aus dem deutschen Mittelstand und dem öffentlichen Sektor, setzen nicht etwa trotz, sondern wegen der Sicherheitsfrage auf Cloud-Dienste. Denn die Sicherheit eigener IT-Systeme sicherzustellen ist in Zeiten global orchestrierter Attacken und ständig neuer Angriffsmuster nicht nur eine komplexe, sondern auch extrem kostspielige Aufgabe.

Für Gesetzgeber stellt sich IT-Sicherheit folgerichtig als nicht weniger komplexe Angelegenheit dar; geht es doch in der Praxis um komplizierte und umfangreiche technische Standards, die fast nur Experten verstehen. Und es gilt: Hundertprozentige Sicherheit gibt es schon deshalb nicht, weil immer noch der Mensch das schwächste Glied in der Sicherheitskette ist.

Deutschland darf sich nun, seinem Ruf als regulierungsfreudiges Land durchaus gerecht werdend, einer regulatorischen Vorreiterrolle in Europa rühmen. Hatte das IT-Sicherheitsgesetz 2015 noch Betreiber besonders kritischer Infrastrukturen im Blick (zum Beispiel Energienetzbetreiber und die Lebensmittelversorger), setzt der jetzt verabschiedete Gesetzentwurf breiter an. Künftig werden auch Anbieter bestimmter digitaler Dienste, nämlich Online-Marktplätze, Cloud-Dienste & Suchmaschinen verpflichtet sein, technische Sicherheits-Mindeststandards zu erfüllen und erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Wichtiger als die Details des jüngsten Gesetzentwurfs, die durchaus noch der Diskussion bedürfen, ist die mit den beiden Gesetzen in Deutschland etablierte Grundlogik im Zusammenspiel zwischen Wirtschaft und der Aufsicht durch das BSI. IT-Sicherheits-Standards werden kooperativ entwickelt und der Informationsaustausch soll in beide Richtungen stattfinden. Das BSI ist also auch, aber nicht nur Aufsichtsbehörde. Vielmehr wird es zum „information broker“, Beratungszentrum und zu einer Art staatlicher Sicherheitsleitzentrale.

Aus dieser Perspektive kann die IT-Sicherheits-Regulierung durchaus als Zukunftsmodell gesehen werden: Wo sich Märkte global organisieren und sich Bedrohungen ständig dynamisch verändern, ändert sich auch die Rolle und Funktion der Aufsicht. International vereinheitlichte Standards und weltweiter Informationsaustausch auf der einen Seite – Beratung bis in die lokale Ebene auf der anderen – so sieht das Lastenheft für moderne Regulierungsbehörden aus.

Veröffentlicht von Guido Brinkel, Leiter Regulierungspolitik, Microsoft Deutschland

Kommentar verfassen