Presseartikel zum Thema IT-Sicherheitsgesetz
Rince wurde gebeten, einen Gastartikel in der IHK-Mitgliederzeitschrift zu schreiben

Die IHK Stuttgart hatte Rince gebeten, Gastartikel zu schreiben. Der Erste davon lautet wie folgt:
IT-Sicherheitgesetz: Freund oder Feind?

Seit einigen Monaten geistert der Begriff “IT-Sicherheitsgesetz” durch die Poltik- und Medienlandschaft. Die Rede ist von einer gesetzlichen Vorgabe für Unternehmen, ihre IT-Systeme (die nicht nur für Produktion und Erbringung von Dienstleistungen, sondern auch für die Kommunikation mit den Kunden inzwischen unersetzlich sind) in dem Sinne sicher zu gestalten, dass ein geschützter Umgang möglich ist. Doch wird dies mit diesem Gesetz erreicht?
Wenn ich mir die bisherigen Entwürfe zu diesem Gesetz durchlese, kommen mir einige Zweifel. Nicht nur dass das BSI als Ansprechpartner dort genannt wird (es soll auf der einen Seite Firmen und Bürger zu IT-Sicherheit beraten, gleichzeitig den Geheimdiensten beim Ausspionieren von IT-Systemen helfen), die Lösung soll für viele Firmen eine Zertifizierung nach einem ISO-Standard sein.
Nun mag eine Zertifizierung helfen, einen gewissen Grundstandard branchenweit zu etablieren. Allerdings erkauft man sich mit dieser Zertifizierung die fehlende flexible Handhabung von Wertschöpfungsketten - bis Neuerungen in einen Standard einfließen dauert es lange, viel länger als IT-Standards sich faktisch durchsetzen. Zusätzlich kosten Zertifizierungen viel Geld und viel Kraft in den Firmen. Ich halte einen Grundschutz in der IT für mehr als notwendig, ebenso eine Meldepflicht für erfolgreiche Einbrüche in die firmeneigenen IT-Systeme - so wie es für personenbezogene Daten das BDSG bereits vorsieht. Mir ist eine Transparenz lieber, bei welcher der Hersteller einen Fehler zugibt anstatt ihn zu vertuschen.
Eine Zertifizierung dagegen sehe ich mit gemischten Gefühlen, da sie nur teilweise zum Ziel einer gesicherten IT-Landschaft führt.