Computer und Internet IT-Sicherheitsgesetz: „Ein gigantischer Papiertiger“

  • INSIDER
Kabel rein und los? So einfach ist es nicht - das neue IT-Sicherheitsgesetz bringt viel Bürokratie mit sich.

Kabel rein und los? So einfach ist es nicht - das neue IT-Sicherheitsgesetz bringt viel Bürokratie mit sich.© a_korn - Fotolia.com

Macht das IT-Sicherheitsgesetz das Netz wirklich sicherer? Unternehmer Sebastian von Bomhard zweifelt und zeigt in seinem impulse-Blog neue Wege auf.

Seit Ende Juli gibt es ein neues IT-Sicherheitgesetz in Deutschland: das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“. Wir hatten allerdings keinen guten Start, das Gesetz und ich. Was für ein gigantischer Papiertiger!

Von Anfang an gab es Fehlinterpretationen wegen zweifelhafter Meldepflichten, schwammiger Aussagen, wo das Gesetz überhaupt angewendet werden soll, und abstruser Kritik, hier werde die Vorratsdatenspeicherung durch die Hintertür eingeführt, wo doch soeben die Vorratsdatenspeicherung durch die Vordertür kam. Das alles verstellt die Sicht darauf, dass die Erhöhung der IT-Sicherheit durchaus im öffentlichen Interesse liegt.

Anzeige

Das Gesetz betrifft Betreiber „Kritischer Infrastrukturen“ (KRITIS). Wer das ist? Nun, derzeit sind es Kernkraftwerksbetreiber und Telekommunikationsanbieter. Ich bin etwas beunruhigt, dass die Regierung der Meinung ist, die Sicherheit der IT von Kernkraftwerken durch ein Gesetz steigern zu müssen. Ich hoffe doch, dass die Kernkraftwerksbetreiber ihre Motivation nicht erst durch gesetzliche Verpflichtung schöpfen.

Die SpaceNet AG, meine Firma, könnte man mit Telekommunikation durchaus in Verbindung bringen. Vermeintliche Erhellung bringt bereits § 2 (10): „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

 

Das bedeutet für uns: Wir betreiben KRITIS.

Aber wie heißt es weiter in § 2 (10)? „Die kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt“. Also doch nicht? Wir wissen ja, dass „derzeit“ überhaupt nur zwei Branchen betroffen sind.

Welche Auswirkungen hat das IT-Gesetz?

Ursprünglich hieß es, dass jeder Angriff auf kritische Infrastrukturen dokumentiert und an das Bundesamt für Sicherheit (BSI) gemeldet werden müsse. Und dies unabhängig davon, ob der Angriff erfolgreich war oder nicht. Angriffe gibt es jeden einzelnen Tag, jede Stunde, jede Minute. Es kann vorkommen, dass in einer Minute Tausende Angriffe gleichzeitig stattfinden.

Das können die unterschiedlichsten Angriffe sein, also:

  • das (versuchte) Einschleusen von Schadsoftware auf einem Server (zum Ausspähen von Daten, zur Installation einer Hintertür oder zur direkten Manipulation von Daten).
  • das Infizieren eines Benutzerrechners, der dann bei Bedarf ferngesteuert werden kann, also Mitglied eines Schwarms von Roboterrechnern wird, kurz: eines Botnets
  • Phishing Mails, also Mails, die durch meist plumpe Tricks versuchen, an Passwörter oder TANs zu kommen
  • das gezielte Aufspüren veralteter Software mit bekannten Sicherheitslücken
  • das Lahmlegen von Systemen durch gezielte Überlastung (DOS, Denial Of Service Attack), meist in der gefährlichen Variante eines Angriffs von vielen Rechnern gleichzeitig, typischerweise aus den oben erwähnten Botnets (DDOS, „Distributed DOS-Attacke“)

Abwehr und Dokumentation von Angriffen

Es lauern viele Gefahren im Netz, keine Frage. Aber nur jeder 1,76 Millionste Angriff muss ernster genommen werden (Quelle: SpaceNet, eigene Berechnungen).

Es hört sich erst einmal beruhigend an und sieht nach wenig Aufwand für IT-Unternehmen aus, dass so wenige Angriffe überhaupt erfolgreich sind. Wir sprechen übrigens bereits von einem erfolgreichen Angriff, wenn der Eindringling auf irgendein System gelangt, sei es eines von uns oder eines unserer Kunden – ganz unabhängig davon, ob er Schaden angerichtet hat oder nicht und wie lange es ihm gelingt, unentdeckt zu bleiben.

Die Abwehr von Angriffen hat dabei die oberste Priorität, weniger die Dokumentation des Angriffs. Oft werden Angriffe völlig automatisch abgewehrt. Das passt, schließlich laufen die meisten Angriffe auch automatisch ab – vor allem, wenn „nur“ nach Schwachstellen gefahndet wird, um später wiederzukommen.

Gefahren soll man trotzdem nicht unterschätzen. Im Gegenteil: Ein verantwortungsbewusster Anbieter überwacht und schützt die Systeme, seine eigenen ebenso wie die seiner Kunden. In Zukunft tun wir es aber nicht mehr aus Gründen der Berufsehre und weil es sich so gehört, sondern wir tun es, weil wir gesetzlich verpflichtet sind. Ob diese Änderung der Motivationsquelle die Qualität der Arbeit steigert?

Störfälle melden

In § 8 b lauert das nächste Problem. Dort ist geregelt, dass das BSI die zentrale Meldestelle für Probleme ist. So weit, so gut, aber da heißt es im Punkt (4):

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

  1. führen können oder
  2. geführt haben,

über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.“

Nimmt man das wörtlich, führt das zu einer Meldungsflut. Fällt eine von zwei Firewalls aus, einer von zwei Virenscannern, eine Klimaanlage für drei Minuten oder der Strom, wobei natürlich das Notstromaggregat anspringt: In all diesen Fällen ist das ein Vorfall, der zu einer „Beeinträchtigung der Funktionsfähigkeit der (…) betriebenen Kritischen Infrastrukturen (…) führen (kann)“.

Und so etwas soll man ans BSI melden? Das darf man nicht falsch verstehen, es geht nicht um die Beachtung von Störungen, es geht lediglich um die Meldung ans BSI.

Sammelstelle für Störmeldungen einrichten

In richtig aufgestellten Firmen, idealerweise nach ISO 27.001 zertifiziert, gibt es natürlich eine Stelle, die sicherheitsrelevante Vorfälle sammelt und untersucht und daher entsprechende Meldungen einfordern wird: den CISO (Chief Information Security Officer). Nur er kann schnell ermitteln, ob ein vielleicht harmloser Vorfall nicht doch Nebenwirkungen hat, die es zu untersuchen gilt.

Aber was will das BSI mit den Daten? Daten, die möglicherweise eine Schar neuer Mitarbeiter erfordern, um die Bürokratieaufgabe zu bewältigen. Wie das BSI es schaffen soll, die Flut an Störungsinformationen sinnvoll und schnell zu qualifizieren und aufzubereiten, steht noch auf einem ganz anderen Blatt.

Wer ist in die KRITIS-Einstufung eingebunden?

In § 10 (1) wendet sich das Blatt wieder. Dort steht, und das klingt wieder beruhigend für die Sinnhaftigkeit der Maßnahme, dass für die Einstufung eines Betreibers als KRITIS-Betreiber nahezu alle Ministerien eingebunden für eine einvernehmliche Entscheidung sind.

Feine Abgrenzung: Die Vertreter der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände werden nur angehört. Hier ist keine Rede mehr von „einvernehmlich“.

Damit ist nichts gewonnen. Ist der Kreis zu klein, gibt es keinen Sicherheitsgewinn. Schließlich gehen wir alle davon aus, dass Kernkraftwerksbetreiber auch heute schon auf Sicherheit achten. Ist der Kreis zu groß, gibt es erst recht keinen Sicherheitsgewinn. Im Gegenteil, es kommt zu der grotesken Situation, dass sich das BSI im Ernstfall als erstes aus der Kommunikation ausklinken muss, um überhaupt noch sinnvoll arbeiten zu können.

Wie wird der Schaden bewertet?

Das IT-Sicherheitsgesetz sieht vor, dass entsprechende Vorfälle in Zukunft nicht mehr nach ihrem tatsächlichen Schaden bewertet werden müssen, sondern nach dem, den sie möglicherweise angerichtet hätten. Das wäre in etwa so, wenn die Feuerwehr verpflichtet würde, nicht ausgebrochene Brände zu dokumentieren, während es woanders vielleicht wirklich brennt. Und zwar die Brände zuerst, wo theoretisch am meisten zerstört hätte werden können, hätte nicht ein beherzter Hausmeister einen Eimer Wasser über das Debakel gegossen, während die Brandmeister noch damit beschäftigt waren, fiktive Schadenshöhen zu berechnen.

Anonyme Meldungen sind möglich

Ebenso wenig erschließt sich der Sinn, weshalb geringfügige Störungen anonym gemeldet werden dürfen. Der Nutzen der daraus resultierenden statistischen Werte geht gegen Null. Das wäre vergleichbar mit massenhaften anonymen Meldungen einer Allergie – eine Information, die zu keinerlei sinnvollen Rückschlüssen oder gar Hilfe für die Betroffenen führt.

Da liegt doch ohnehin ein Logikfehler vor. Wenn man verpflichtet ist zu melden, aber dies anonym tun darf: Wie weist man dann dem BSI nach, seiner Pflicht zur Meldung nachgekommen zu sein? Tut man das, ist es schon aus mit der Anonymität. Muss man es nicht, ist es schon aus mit den Meldungen.

Alles in allem wird das IT-Sicherheitsgesetz mit seinen Meldepflichten zu einem gewaltigen bürokratischen Overkill führen. Und zu berechtigten Zweifeln, wie sich mit den durch mögliche und geringe Störungen künstlich aufgeblähten Angriffszahlen ernsthafte Aussagen zur Gefahrenlage treffen lassen. Die IT-Sicherheit ist ein hohes Gut deutscher IT-Unternehmen, im internationalen Wettbewerb werden sie jedoch durch Meldepflichten schnell ins Hintertreffen geraten. Dabei gibt es durchaus Dinge, die regulatorisch genauer untersucht werden könnten:

4 Ideen für mehr IT-Sicherheit

  • Werden Kreditkartendaten bei einem erfolgreichen Einbruch entwendet, muss der Servicebetreiber gezwungen werden, das Problem weiterzugeben, damit die Information die potenziellen Opfer schnell erreicht.
  • Enthält eine Software eine Sicherheitslücke, so ist der Hersteller zu zwingen, so schnell wie möglich Abhilfe zu schaffen. Bis dahin ist die Sache möglichst geheim zu halten.
  • Ist der Rechner eines beliebigen Nutzers von einem Virus befallen und besteht das Risiko, dass er andere Rechner infiziert, so ist der Serviceprovider verpflichtet, dafür zu sorgen, dass der Rechner entweder entwanzt oder vom Netz genommen wird, in Absprache mit dem Kunden.
  • Woran erkennt der Laie eigentlich, wie sicher sein Serviceprovider ist? Wie unterscheidet man schwarze Schafe von weißen? Am Preis allein kann es nicht liegen, denn weiße Schafe können nicht billig sein, aber schwarze durchaus teuer.

Einiges davon wird im Gesetz gestreift, aber im Fokus steht das nicht. In den Köpfen der Väter des Gesetzes spukt wohl immer noch der große Cyberangriff gegen einen wichtigen zentralen Rechner.

Viel gefährlicher wäre aber vermutlich der flächendeckende Ausfall der Netze. Oder eine unerkannte Epidemie, die einfach zu einem bestimmten Zeitpunkt die Domainnamen im Netz ändert. Das kann lustig sein, wenn anstelle eines seriösen Nachrichtenkanals der Postillion erscheint. Oder aber gefährlich, wenn die Homepage der Bank aussieht wie immer, aber das Onlinebanking nach der ersten empfangenen TAN anfängt, das Konto leer zu räumen.

Technische Sicherheit effektiv erhöhen

Man könnte nun sagen, warten wir doch ab, vielleicht ist das Gesetz vernünftiger, als es klingt. Das wäre wichtig. Denn es ist noch nicht lange her, da hätte die Bundestagsverwaltung eine Standleitung ins BSI gebraucht, um ihre Probleme zu melden. Wobei nicht klar ist, wie kritisch die Infrastruktur der Bundestagsverwaltung in Wirklichkeit ist.

Immerhin hat Sigmar Gabriel gesagt, die ganze NSA-Abhörerei in den Ministerien sei halb so wild. Dort werde ohnehin nichts Geheimes besprochen, jedenfalls nichts, was die NSA nicht wissen dürfte (ARD-Morgenmagazin, 2. Juli 2015). Ich fürchte, das sollte kein Scherz sein, er meint das so.

In jedem Fall ist der Name des Gesetzes irreführend. Nicht Gesetze erhöhen die technische Sicherheit, sondern immer noch Menschen: Ingenieure, Administratoren, Systemtechniker. Diesen Menschen die Arbeit zu erleichtern, das wäre die geeignete Maßnahme zur Erhöhung der IT-Sicherheit bei uns.

1 Kommentar
  • Headhunter 14. August 2015 10:56

    Danke für den guten Artikel.
    Ich finde die Erklärungen sehr gut und du triffst den Nagel genau auf Kopf!

    Markus Baldauf

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.