IT-Sicherheitsgesetz in Deutschland: Fokus auf kritische Infrastrukturen

In Großbritannien kein Gesetz mit besonderem Bezug

[datenssicherheit.de, 23.02.2015] Carsten J. Pinnow, Herausgeber von datensicherheit.de (ds) mit Dr. Adrian Davis (AD), Managing Director EMEA bei (ISC)².

ds: Das deutsche IT-Sicherheitsgesetz fokussiert sich auf kritische Infrastrukturen, wie sieht das in Großbritannien aus, gibt es dort ein ähnliches Gesetz und wie stehen Sie zu den Bemühungen in Deutschland, ein solches Gesetz durchzusetzen, wird es zu mehr Sicherheit führen?

AD: Wir haben in Großbritannien kein Gesetz, dass gesondert auf kritische Infrastrukturen eingeht und außerdem eine Meldepflicht für Sicherheitsvorfälle vorsieht. Es gibt allerdings eine Reihe von staatlichen Einrichtungen wie regionale Vertretungen oder den National Health Service, die aufgefordert werden, darüber zu berichten. Internet Service Provider (ISP) und Telekommunikationsunternehmen zählen ebenfalls dazu. Die E-Privacy Direktive zum Beispiel verlangt von eben diesen Unternehmen, dass sie über alle Sicherheitsvorfälle, die zu einem Datenverlust, einem Schaden oder aber der Veröffentlichung von personenbezogenen Daten geführt haben, berichten. Darüber hinaus enthält der UK Data Protection Act von 1998 eine Klausel, die auf freiwilliger Basis dazu ermutigt, dass Unternehmen dem UK Information Commissioner (ICO) personenbezogene Datenverluste aufzeigen. Die Meldung solcher Vorfälle ist für ISPs und Telekommunikations-Unternehmen nun verpflichtend. Da das deutsche IT-Sicherheitsgesetz nur die kritischen Infrastrukturen beleuchtet, wird es die Aufmerksamkeit für die einzelnen Vorfälle und Attacken erhöhen, aber nicht das Bewusstsein für Sicherheit allgemein erhöhen.

ds: Wie ist das britische Gesetz aufgesetzt, wer sind die wichtigsten Akteure und deren Interessen?

AD: Da wir kein Gesetz zur Meldepflicht für Vorfälle bei kritischen Infrastrukturen haben, ist das schwierig zu beantworten. Ich schätze mal, dass wenn die europäische Network and Information Security Directive (NIS Directive) verabschiedet wird, auch in Großbritannien als Gesetz aufgesetzt wird.

ds: Das BSI wird in dem Gesetz als eine der Organisationen genannt, die im Fall einer Hacker Attacke informiert werden sollen. Wie sieht das derzeit in Großbritannien aus und wie läuft der Prozess dort ab?

AD: Sicherheitsvorfälle können an die ICO (Information Commissioners Office) gemeldet werden.

ds: Was denkt die (ISC)² Community in Großbritannien über diesen Ablauf?

AD: Kein Kommentar. Meine persönliche Einschätzung dazu ist, dass die deutsche Regierung sich auf die europäische NIS Direktive vorbereitet und schrittweise annähert. Mit anderen Worten, das Gesetz ist so aufgebaut, um einen speziellen Industriezweig dazu zu bringen, Vorfälle zu melden, so dass auch andere Zweige darüber nachdenken. Wenn dann ein Maß an Akzeptanz und Wissen über die Meldung von Sicherheitsvorfällen allgemein verbreitet ist, wird das Gesetz weiterentwickelt, um es verpflichtend für alle Unternehmen einzuführen, aufbauend auf der NIS Direktive.

ds :Wie steht (ISC)² zu den Gesetzen und Verordnungen, die derzeit von der EU Kommission entwickelt werden? Wird das zu mehr Compliance führen, ohne eine Verbesserung der Sicherheit oder erwarten Sie das Gegenteil?

AD: Lassen Sie mich hierzu ein Statement zur NIS Direktive vom Departement für „Business, Innovation and Skills“ anbringen:

„Britische Unternehmen glauben, dass die Vorschläge in der NIS Direktive dazu führen, dass die bestraft werden, die gut im Bereich Cyber Security aufgestellt sind. Und das diese zu mehr Compliance führen, als dass sie proaktiv versuchen Sicherheitsrisiken anzupacken.“ „Es bestand die Gefahr, dass Compliance- als Ersatz für proaktive Cyber Security-Teams aufgestellt werden könnten, um sicherzustellen, dass diese eingehalten werden. Cyber Security würde dann zu einem Statistikspiel werden“, steht in diesem Bericht. „Dezidierte Informationen zu teilen, benötigt ein Maß an Vertrauen und verpflichtendes Berichten war nicht in der Lage solche belastbaren Daten zu liefern, sondern nur Complaince.“

„Verpflichtendes Melden könnte möglicherweise dazu führen, dass die Unternehmen mit guter Cyber Security und Meldevorgängen bestraft werden, da sie Informationen veröffentlichen müssten, die Wettbewerber mit lediglich einen Minimum an Compliance nicht festgestellt hätten.“ „Es gab einiges an Unbehagen, was veröffentlicht werden muss und was nicht. Darüber hinaus gab es auch Fragen, was die Commission mit den Informationen tun würde sowie wie gut diese geschützt wird.“

Da wir jede Bemühung begrüßen, die versucht Gesetze und Verordnungen in der EU miteinander zu harmonisieren, damit einhergehend auch die Compliance Hürden für Unternehmen reduzieren, befürchten wir, dass mehr Regulierung zu mehr Bürokratie führen wird. Es wird eine Compliance Mentalität erzeugt, die von Unternehmen so implementiert wird, dass es den Regularien entspricht und nicht dem, was eigentlich nötig ist. Darüber hinaus befürchten wir, dass die Bedeutung der Informationssicherheit und des Risikomanagements abnimmt und Unternehmen ungeschützter sind. Regulierungen wie diese scheinen Unternehmen eher zu bestrafen: Wenn du einen Sicherheitsvorfall meldest, dann bekommst du ein Bußgeld, wenn du es nicht tust, bekommst du ein Bußgeld. Unternehmen finden sich dann auf der falschen Seite des Gesetzes wieder, egal was sie tun und Mitarbeiter könnten ihre Karrieren nur wegen eines Fehlers ruinieren. Noch kriminalisieren Gesetze Hacker und Cyber-Kriminalität scheint eher unwichtig, genauso wie der Wille diese zu verfolgen. Letztendlich müssen wir aufpassen, dass wir nicht mit Sicherheitsvorfällen langweilen. Wenn die Öffentlichkeit jeden Tag von einem Vorfall erfährt – und keine Auswirkungen auf sich selbst feststellt – dann wird sie sich daran gewöhnen und die Berichte ignorieren. Damit würden wir dann genau das Gegenteil von dem erreichen, was das Gesetz eigentlich will.

ds: Wird das Gesetz also die Informationssicherheit bei deutschen kritischen Infrastrukturen erhöhen?

AD: Ich denke, da müssen wir abwarten. Wenn wir die Effektivität eines Gesetzes bewerten wollen, müssen wir zuerst feststellen, wie es derzeit um die Sicherheit bestellt ist. Dazu sollten wir eine ganze Reihe von belastbaren Maßstäben anlegen und dann über ein oder zwei Jahre Messungen vornehmen. Erst dann werden wir in der Lage sein, diese Frage vernünftig zu beantworten.

© (ISC)²

Dr. Adrian Davis, Managing Director EMEA bei (ISC)²