Neues Gesetz zur IT-Sicherheit ist Makulatur

Wie am 19.08.2014 bekannt wurde, hat die Bundesregierung eines Gesetzesinitiative vorgelegt, die die IT-Sicherheit in Deutschland verbessern soll. Kernpunkt des Gesetzes soll sein, dass (systemrelevante) Unternehmen, die Opfer eine Cyber-Attacke geworden sind, dies den Behörden melden sollen. Zudem haben diese Unternehmen Vorschläge zu unterbreiten, wie sie ihre IT-Systeme vor Angriffen schützen wollen. Diese Maßnahmen sollen dann vom BSI geprüft und zertifiziert werden.

Was für ein Blödsinn! IT-Sicherheit und Schutz vor Angriffen kann man nicht per Gesetz definieren, sondern man muss als Unternehmen und (!) Staat geeignete Maßnahmen ergreifen, um Attacken zu erkennen, abzuwehren und vor allem: die Verursacher zu fassen und zur Rechenschaft zu ziehen. Was nützt es, wenn der Staat weiß, dass ein Unternehmen angegriffen wird und dann nicht hilft. Hier fehlt es an einer schlagkräftigen Cyber-Abwehrtruppe auf Bundesebene. So eine Gruppe gibt es wohl seit einiger Zeit schon, nur bringt diese nach jüngeren Medienberichten außer einem täglichen Meeting nicht viel Konkretes zu Stande.

Nach meiner Einschätzung läuft das auf folgenden Vergleich hinaus: Wenn ich als Bürger vom einem Räuber bedroht und beraubt werden, muss ich das der Polizei dann melden. Und ich habe der Polizei mitzuteilen, wie ich denn gedenke, mich vor solchen Angriffen zu schützen. Ob und wie die Polizei dann im konkreten Fall hilft, ist nicht geklärt. Tolles Gesetz!