Alte große Koalition, neue große IT-Sicherheitspolitik?

Alte große Koalition, neue große IT-Sicherheitspolitik?

"Neue Dynamik für Deutschland" – das verspricht der lange ausgehandelte Koalitionsvertrag zwischen Union und SPD. Die Wirtschaft verspricht sich vom Thema Digitalisierung neue Impulse. Uns interessiert in diesem Zusammenhang besonders, welche Rolle die IT-Sicherheit in der laufenden Legislaturperiode spielen soll.

Nun soll es also losgehen. Nun, nachdem sich die neuen alten großen Koalitionäre in Meeseberg zusammengesetzt und hoffentlich auch -gerauft haben. Die Umsetzung des Koalitionsvertrages steht an: 175 Seiten, die das Handeln von CDU/CSU und SPD bis zur nächsten Bundestagswahl bestimmen sollen. Wenn im letzten Koalitionsvertrag das Thema IT-Sicherheit vor allem durch Edward Snowden fast schon omnipräsent war, so kann im jetzt vorliegenden Dokument eine geringere Aufmerksamkeit für das Thema festgestellt werden. Das heißt aber nicht, dass es gar nicht vorkommt. Und manchmal ist es für die Durchsetzbarkeit der Vorhaben auch besser, wenn sie nicht ganz so präsent sind. Doch was gibt das Dokument nun her, das eine neue Dynamik für Deutschland bereits auf dem Titelblatt verspricht?

Hier kurz zusammengefasst die Punkte zum Thema IT-Sicherheit, die im Koalitionsvertrag zu finden sind, sowie eine kurze Einschätzung aus unserer Sicht:

Nationaler Pakt für Cybersicherheit

Die Koalitionsparteien möchten alle gesellschaftlich relevanten Gruppen, Hersteller, Anbieter und Anwender sowie die öffentliche Verwaltung in gemeinsamer Verantwortung in einem Nationalen Pakt Cybersicherheit einbinden. Ein Cyberbündnis mit der Wirtschaft soll zudem bestehende Strukturen bündeln.

Vor allem die Bündelung der bestehenden Strukturen begrüßen wir sehr, da man schon bei oberflächlichem Durchzählen bestehender Initiativen auf eine zweistellige Zahl kommt. So lassen sich Kräfte und Expertise auftreiben. Die Regierung sollte sich anschauen, wo die Akzeptanz bereits besonders hoch ist. Die Allianz für Cybersicherheit, in der wir uns als Partner engagieren, hat zum Beispiel bereits jetzt über 2.600 Mitglieder aus allen Branchen und hat sich als Austauschplattform zwischen Anwendern und Anbietern bewährt.

Weiter geht's: Es werden europaweite Sicherheitsstandards gefordert

IT-Sicherheitsgesetz 2.0

Der existierende Rechtsrahmen soll mit einem IT-Sicherheitsgesetz 2.0 weiterentwickelt werden. Gemeinsam zwischen Bund und Ländern, möglichst aber europaweit, sollen Sicherheitsstandards für IT-Strukturen und den Schutz kritischer Infrastrukturen definiert werden.

Das ist zu befürworten, wenn mit einer Weiterentwicklung in diesem Zusammenhang eine Anhebung von Sicherheitsstandards und eine Ausdehnung auf weitere wichtige Branchen über kritische Infrastrukturen hinaus zu verstehen ist. Denn die Cybersicherheitsvorfälle der letzten Zeit haben erneut gezeigt, dass für viele Unternehmen IT-Sicherheit noch keine Selbstverständlichkeit ist.

Produkthaftung für IT-Produkte

Hersteller und Anbieter von IT-Produkten sollen stärker in die Pflicht genommen werden.

Hier halten wir es für besonders wichtig, dass  die große Koalition genau überlegt, wie sie die begrüßenswerte Zielsetzung operationalisieren möchte. Grundsätzlich haben wir als Anbieter von Hochsicherheitsprodukten, an die ein hoher Qualitätsstandard angelegt wird, sowohl vor Produkthaftung als auch vor Gütesiegeln keine Angst. Durch die Zertifizierungen und Zulassungen, die wir erreicht haben und regelmäßig aktualisieren, kann man uns zumindest keine Fahrlässigkeit vorwerfen. Dennoch droht die Gefahr, dass neue Regelungen eben erst die trifft, derer ein deutscher Gesetzgeber gut habhaft werden kann: Also kleinere Unternehmen, die ihren Firmensitz in Deutschland haben und die gleichzeitig keine riesige Rechtsabteilung haben, die Auseinandersetzungen mit staatlichen Akteuren abblocken könnten.

Bestehende Zertifizierungen dürfen nicht geschwächt werden

Zudem sollte im Hinblick auf die Gütesiegel vor allem darauf geachtet werden, dass bestehende Zertifizierungen nicht unnötig geschwächt werden, frei nach dem Motto: "Wenn das Produkt ein Gütesiegel hat, dann wird das wohl reichen – wofür braucht man dann noch ein teureres zertifiziertes Produkt?" Soweit wir in Erfahrung bringen konnten, soll das Gütesiegel jedoch nach dem Willen der Politik vor allem Consumer-Produkte betreffen. Es soll Endverbrauchern dabei helfen, sich zu orientieren. Bei Geschäftskunden sieht die Politik eine wesentlich höhere Beurteilungsfähigkeit des Kunden im Hinblick auf die IT-Sicherheitseigenschaften von Produkten. Deshalb wird hier weiterhin auf bewährte Qualitätsmerkmale wie zum Beispiel Zertifizierungen nach Common Criteria gesetzt.

BSI als nationale Cybersicherheits-Behörde

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) soll als nationale Cybersicherheitsbehörde ausgebaut und gestärkt werden. Es soll als zentrale Zertifizierungs- und Standardisierungsstelle für IT-Sicherheit fungieren.

Interessant wird in diesem Zusammenhang sicherlich, wie sich die gestärkte Rolle der ENISA (der europäischen Netzwerk- und Informationssicherheitsagentur) auf die Positionierung des BSI auswirkt.

genua arbeitet seit vielen Jahren sehr eng und vertrauensvoll mit dem BSI zusammen. Gleichzeitig sind wir der Meinung, dass ein europäischer Rahmen der einzige Weg ist, der einem globalen Ungleichgewicht in Sachen IT-Sicherheit und Vertrauenswürdigkeit entgegengesetzt werden kann. Insofern ist es umso wichtiger, dass es hier zu einem Interessenausgleich zwischen der Europäischen Kommission und den nationalstaatlichen Positionen kommt, um gemeinsam auf europäischer Ebene vertrauenswürdige IT-Sicherheitstechnologien voranzubringen und keinen race to the bottom im Hinblick auf IT-Sicherheitsstandards zu befeuern.

Security by Design

Das Prinzip "Security by Design" soll gefördert werden. Zudem sollen zusammen mit der Wirtschaft IT-Sicherheitsstandards für internetfähige Produkte entwickelt werden. Die Einhaltung solcher über die gesetzlichen Mindeststandards hinausgehender Standards wird mit einem IT-Gütesiegel transparent gemacht.

Die Forderung nach "Security by Design" bestimmt schon seit längerem die politische Debatte, sie ist ebenso sinnvoll wie schwer nachweisbar. Gleichzeitig bedeuten sicher designte Produkte realistischerweise auch höhere Beschaffungs- und Betriebskosten als Produkte, die nicht mehr vom Hersteller betreut werden. Gleichzeitig können beim Grundsatz "Security by Design" Stand heute noch immer nicht die gleichen Usability-Paradigmen zugrunde liegen, wie sie es jetzt in der user-zentrischen Entwicklung tun. Dessen sollte man sich bewusst sein, und darauf müssen die User zur Stärkung der Akzeptanz auch vorbereitet werden.

Nationale Sicherheit und Vergaberecht

Bestehende vergaberechtliche Spielräume sollen zum Erhalt nationaler Souveränität bei Schlüsseltechnologien besser genutzt werden. Dabei könne es auch Anpassungen im Vergaberecht geben.

Dieser Ansatz ist insofern vernünftig, als dass er in den meisten Staaten so gehandhabt wird und lediglich Deutschland hier immer sehr zurückhaltend war. Der Gesetzgeber und auch der Rechtsanwender sollte dabei berücksichtigen, dass im Sinne der nationalen Sicherheit bereits jetzt viel möglich ist im Hinblick auf das Vergaberecht, es müsste nur konsequent genutzt werden.

Agentur für disruptive Innovationen

Schließlich soll auch eine Agentur für disruptive Innovationen in der Cybersicherheit (ADIC) sowie ein IT-Sicherheitsfonds eingerichtet werden. Dies soll der Sicherstellung technologischer Innovationsführerschaft dienen.

Damit soll wohl so etwas wie die DARPA in den Vereinigten Staaten geschaffen werden, jedoch ohne sie mit einem ähnlichen Mittelansatz auszustatten. Der IT-Sicherheitsfonds soll dazu genutzt werden, ein Erstzugriffsrecht des Staates auf Schlüsseltechnologien zu sichern. Doch eine reine Abschottung im Sinne von Schutz wird hier nicht zielführend sein. Der Technologieaustausch auch im Bereich der Schlüsseltechnologien ist längst global. Vielmehr sollten wirklich zukunftsfähige Schlüsseltechnologien gezielt gefördert und dann auch im behördlichen Bereich eingesetzt werden. Alles andere behindert Wettbewerb und damit Innovation.

Weitere Handlungsfelder

Interessante Punkte finden sich auch im Bereich der Wirtschaftspolitik: Allen voran eine Ausweitung der Förderung von Investitionsprogrammen zur Digitalisierung des Mittelstandes. Diese soll auch IT-Sicherheitsinvestitionen umfassen und erscheint gerade in Verbindung mit der Stärkung der Beratungsfunktion des BSI für den Mittelstand sinnvoll.

Im Bereich eHealth wurde von den Koalitionären die Kritikalität der Gesundheitsdaten aufgegriffen. Deswegen plädieren sie mit Nachdruck dafür, dass eine verlässliche und vertrauenswürdige Infrastruktur mit höchsten Datenschutz- und Datensicherheitsstandards aufgesetzt werden soll.

Im Public-Bereich kündigt das Dokument ebenfalls einige Entwicklungen an. So soll das Bundeskriminalamt als zentrales Datenhaus im polizeilichen Informationsverbund etabliert und ein gemeinsamer Investitionsfonds für die IT der deutschen Polizei geschaffen werden. Vorstellbar ist das aus unserer Sicht nur dann, wenn die dort verarbeiteten sensiblen Daten auch entsprechend abgesichert werden.

Auch beim Thema Forschung schlägt sich das Thema IT-Sicherheit deutlich nieder, so wollen die Koalitionspartner die Forschung zu Schlüsseltechnologien wie Quantencomputern und IT-Sicherheit intensiv fördern. Hier hat die IT-Sicherheitswirtschaft bereits in der letzten Legislaturperiode auf die richtigen Themen gesetzt und kann diese nun durch politische Flankierung vertiefen und die entsprechenden Entwicklungen in die Anwendung bringen.

Auf die gemeinsame Umsetzung kommt es an

Nachdem der Stellenwert von IT-Sicherheit in den anfänglichen Entwürfen ungefähr auf Höhe von eSports rangierte, was den Stellenwert angeht, haben die Verhandler zumindest aus unserer Sicht im weiteren Verlauf der Verhandlungen einige Fortschritte bei der Konkretisierung von IT-Sicherheitsbemühungen gemacht. Gleichzeitig gilt es, die hier eher oberflächlich angesprochenen Vorhaben gemeinsam mit der Wirtschaft zu konkretisieren, um eine praktikable Umsetzung mit Politik und Verwaltung herbeizuführen.

 

Bildquelle: ©  abcmedia, magele-picture, MH - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz Cookies akzeptieren