Presseartikel zum Thema IT-Sicherheitsgesetz
Rince wurde gebeten, einen Gastartikel in der IHK-Mitgliederzeitschrift zu schreiben
Die IHK Stuttgart hatte Rince
gebeten, Gastartikel zu schreiben. Der Erste davon lautet wie folgt:
IT-Sicherheitgesetz: Freund oder Feind?
Seit einigen Monaten geistert der Begriff “IT-Sicherheitsgesetz” durch
die Poltik- und Medienlandschaft. Die Rede ist von einer gesetzlichen
Vorgabe für Unternehmen, ihre IT-Systeme (die nicht nur für Produktion
und Erbringung von Dienstleistungen, sondern auch für die Kommunikation
mit den Kunden inzwischen unersetzlich sind) in dem Sinne sicher zu
gestalten, dass ein geschützter Umgang möglich ist. Doch wird dies mit
diesem Gesetz erreicht?
Wenn ich mir die bisherigen Entwürfe zu diesem Gesetz durchlese, kommen
mir einige Zweifel. Nicht nur dass das BSI als Ansprechpartner dort
genannt wird (es soll auf der einen Seite Firmen und Bürger zu
IT-Sicherheit beraten, gleichzeitig den Geheimdiensten beim
Ausspionieren von IT-Systemen helfen), die Lösung soll für viele Firmen
eine Zertifizierung nach einem ISO-Standard sein.
Nun mag eine Zertifizierung helfen, einen gewissen Grundstandard
branchenweit zu etablieren. Allerdings erkauft man sich mit dieser
Zertifizierung die fehlende flexible Handhabung von Wertschöpfungsketten
- bis Neuerungen in einen Standard einfließen dauert es lange, viel
länger als IT-Standards sich faktisch durchsetzen. Zusätzlich kosten
Zertifizierungen viel Geld und viel Kraft in den Firmen.
Ich halte einen Grundschutz in der IT für mehr als notwendig, ebenso
eine Meldepflicht für erfolgreiche Einbrüche in die firmeneigenen
IT-Systeme - so wie es für personenbezogene Daten das BDSG bereits
vorsieht. Mir ist eine Transparenz lieber, bei welcher der Hersteller
einen Fehler zugibt anstatt ihn zu vertuschen.
Eine Zertifizierung dagegen sehe ich mit gemischten Gefühlen, da sie nur
teilweise zum Ziel einer gesicherten IT-Landschaft führt.