Verunsichernde IT-Sicherheit

Als sich Bundesinnenminister Thomas de Maizière am Mittwochnachmittag auf den Weg zu seiner Limousine macht, eröffnet sich dem Autor dieses Textes doch noch die Gelegenheit zu einer Frage. »Nein, der Minister hat kein Feuer und ich auch nicht«, antworte dann leider nicht der Bundesinnenminister, sondern sein Bodyguard. Es war nicht die einzige unbefriedigende Antwort an diesem Tag.

Eine halbe Stunde hatte sich de Maizière zuvor Zeit genommen, um bei der Bundespressekonferenz das lang erwartete (und von vielen befürchtete) IT-Sicherheitsgesetz der Bundesregierung vorzustellen. Der Entwurf, der am Morgen vom Kabinett verabschiedet wurde, sieht im Wesentlichen vor, die IT-Sicherheit der deutschen Wirtschaft zu erhöhen. Unternehmen sollen zu stärkeren Vorkehrungen zum Schutz vor Cyberangriffen verpflichtet, die Bevölkerung soll besser informiert werden.

Um dies zu gewährleisten, wird das Bundesamt für Informationstechnik (BSI) zum IT-Sicherheitszentrum ausgebaut. Die Behörde soll dann jedes Unternehmen, das eine Website betreibt, zur Einhaltung von »IT-Sicherheitsstandards« verpflichten, Sicherheitslücken sammeln und auswerten und die Öffentlichkeit im Falle von größeren Cyberangriffen informieren.

Das klingt vielversprechend. Erst recht, weil der zentrale Kritikpunkt mittlerweile aus dem Gesetz verschwunden ist: Auf der Suche nach potenziellen Angreifern wollte die Regierung es Unternehmen ermöglichen, die Metadaten ihrer Nutzer (also zum Beispiel IP-Adressen und Zeitpunkt des Zugriffes) bis zu einem halben Jahr zu speichern. Datenschützer sprachen von einer »Vorratsdatenspeicherung durch die Hintertür«, bis auf Druck des Bundesjustizministeriums der umstrittene Passus aus dem Gesetz verschwand.

Macht die in Sachen IT-Sicherheit und Datenschutz viel gescholtene Bundesregierung also ausnahmsweise einmal gute Arbeit? Leider nicht. Denn nicht nur als de Maizière auf die Frage eines Journalisten, ob das Gesetz auch für Privatleute gelte, keine Antwort wusste (tut es nicht), wurde klar: Das Gesetz hinterlässt mehr Fragen als Antworten, eröffnet Raum für Unverbindlichkeiten, wo es eigentlich konkrete Verpflichtungen versprach.

Was bedeutet »Stand der Technik«, auf den die IT-Systeme von Unternehmen gebracht werden sollen? Ab wann müssen Unternehmen Cyberangriffe an das BSI melden? Wie hoch muss der Schaden sein, damit die Öffentlichkeit informiert wird? In welchen Fällen muss das BSI ihm bekannte Sicherheitslücken öffentlich machen? All das bleibt offen.

Statt konkrete Antworten zu geben, flüchtete sich de Maizière ein ums andere Male in Vergleiche mit dem Teil der Wirtschaft, deren Funktionsweise ihm offensichtlich selbst verständlicher ist als dieses Internet mit seinem Gefahrenmix aus Sozialen Netzwerken, Clouddiensten und Identitätsdiebstählen, wie es BSI-Präsident Michael Hange skizzierte. Von Pizzalieferanten und Hühnerfarmen war die da Rede, für deren Produktsicherheit längst viel schärfere Gesetze gelten als für die »unterregulierte kritische Infrastruktur« Internet.

Vergebens hoffte man auf jene drei Buchstaben, die einen der wichtigsten Aspekte deutscher IT-Sicherheit weit besser symbolisieren als der Vergleich mit Pizzalieferanten: NSA. Staatliche Überwachung, die eben auch in der Form von Wirtschaftsspionage daherkommt, blieb auch im ebenfalls am Mittwoch vorgestellten BSI-Jahresbericht zur IT-Sicherheit ein Randthema. Die Anzahl der Erwähnungen amerikanischer oder britischer Geheimdienste im 43-seitigen Bericht: null.

Zumindest der Name des neuzeitlichen Symbols der IT-Sicherheit fiel schließlich doch noch: Ob das BSI nicht Edward Snowden als Experten engagieren könnte, wollte der mittlerweile zum Inventar der Bundespressekonferenz gehörende Macher der Interviewreihe »Jung und Naiv«, Tilo Jung, wissen. Eine befriedigende Antwort erhielt freilich auch er nicht.