Handlungsrahmen mit gemeinsamem Ziel
Die Bundesregierung hat die „Cyber-Sicherheitsstrategie für Deutschland 2016“ beschlossen, so eine Meldung des Bundesinnenministeriums. Abgesehen davon, dass diese Meldung etwas spät im Jahr kommt und die Datierung daher etwas unglücklich erscheint, gab es bereits einiges an Lob und Kritik. Zweifellos ist zu begrüßen, dass sich die Bundesregierung dem so wichtigen Thema wieder angenommen hat. Nicht jeder ist aber mit dem Ergebnis völlig zufrieden.
Die vom Bundeskabinett beschlossene neue Cybersicherheitsstrategie sei aus Sicht der Internet-Branche zwar ein in vielen Punkten substanzieller Ansatz für mehr IT-Sicherheit, sie schaffe aber auch neue Unklarheiten, zum Beispiel in Bezug auf den künftigen Umgang mit Verschlüsselungstechniken, so der Verband der Internetwirtschaft eco.
Der Handlungsbedarf ist höher als je zuvor
Der ebenfalls veröffentlichte Lagebericht 2016 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie das Internet der Dinge oder Industrie 4.0 bieten Cyberangreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Keine Frage, eine Cybersicherheitsstrategie ist nicht Kür, sondern Pflicht.
Jeder Staat, jede Behörde, jedes Unternehmen, ja jeder einzelne Nutzer muss sich genau überlegen, wie sie oder er mit der zunehmenden Cyberbedrohung umgehen will und umgehen muss. Es gibt hier keine Patentrezepte, sondern Leitlinien und Standards, die auf Basis der individuellen Risikoanalyse anzuwenden sind. Trotzdem ist es wichtig, dass Cybersicherheit als großes Ganzes gesehen wird, dass die Maßnahmen ineinandergreifen, in der eigenen Organisation und im Austausch mit anderen (gutartigen) Organisationen. Es ist nicht hilfreich, wenn man versucht, IT-Sicherheit nur aus dem eigenen Blickwinkel zu sehen, denn IT bedeutet heute immer auch Vernetzung.
Bitte mehr Miteinander und weniger Alleingänge
Während es beim Datenschutz vorgesehen ist, dass die Bundesländer eigene Datenschutzgesetze und Aufsichtsbehörden haben, ist dies in der IT-Sicherheit (bisher) nicht der Fall. Trotzdem hat in Bayern der Finanz- und Heimatminister Dr. Markus Söder angekündigt: „Bayern gründet als erstes Bundesland ein eigenes Landesamt für IT-Sicherheit. Bis 2025 sollen in Nürnberg bis zu 200 IT-Sicherheitsspezialisten Bayerns IT noch sicherer machen – insbesondere auch unseren Bayern-Server und das bayerische Behördennetz“. Das Ziel dabei: „Durch enge Kooperation mit der Wissenschaft und der bayerischen IT-Sicherheitsindustrie wird sichergestellt, dass ein schlagkräftiges und hochmodernes Hacker-Abwehrzentrum in Bayern entsteht“, so Söder.
Nun ist gegen Maßnahmen für die IT-Sicherheit nichts zu sagen, im Gegenteil. Wichtig ist jedoch der Hinweis, dass sich IT-Sicherheit immer grenzüberschreitend verstehen muss. IT Security kennt keine Bundesländergrenzen. „Nur durch gut koordiniertes und globales Handeln ist es möglich, dem Fehlen von physischen Grenzen in der digitalen Welt entgegenzuwirken und die Cyber-Sicherheit im nationalen und globalen Kontext zu verbessern“, betont der Cyber-Sicherheitsrat Deutschland e.V.
Klare Zuständigkeiten müssen sein
Deshalb empfiehlt es sich in der IT-Sicherheit, innerhalb von Organisationen die IT-Sicherheitsmaßnahmen genau abzustimmen und zu koordinieren – das gilt ebenso für Nationalstaaten mit ihren Bundesländern bzw. Regionen. Jedes Unternehmen, jede Behörde und jede Organisation sollte deshalb die eigenen Cybersicherheitspläne entwickeln und die Anknüpfung an die größeren, übergeordneten Cybersicherheitsstrategien versuchen. Dies hilft zum einen dabei, mögliche Lücken in der Planung zu schließen, und es verhindert Reibungsverluste.
Nicht ohne Grund warnt zum Beispiel der eco-Verband vor einem Strategie-Overload anlässlich der Verabschiedung der neuen Cybersicherheitsstrategie. Genauso kann und sollte man vor einem organisatorischen Overload in der IT-Sicherheit warnen, wenn immer mehr Behörden für die IT-Sicherheit zuständig werden. Mehr ist nicht immer automatisch besser, es sei denn, es handelt sich um Abstimmung und koordiniertes Vorgehen. Das gilt auch für Unternehmen, die sich über die Zuständigkeit für IT-Sicherheit ganz genau bewusst sein müssen. Besteht hier Unklarheit, kommt es zu widersprüchlichen Regeln oder aber zu einem Mangel an Richtlinien, denn jeder glaubt dann, dass es der andere schon mache.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de
