Für Hersteller von IT-Produkten gibt es noch deutlich zu wenig Anreize, um Sicherheit in die Produkterstellung einfließen zu lassen. In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf den Markt. Jeder Anwender hinterlässt bei der Nutzung einen digitalen Fußabdruck im Netz und gibt Daten von sich preis. Um diese und auch essenzielle Versorgungsdienstleistungen zu schützen, greift das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer öfter und immer schärfer mit Gesetzgebungen, Richtlinien oder auch Gütesiegeln ein.
Sorgt das BSI damit für zunehmende Bürokratie und steigende Kosten? Oder handelt es sich um eine längst überfällige Amtshandlung? „Für Hersteller von IT-Produkten gibt es noch deutlich zu wenig Anreize, um neben Aspekten wie Funktionalität, Einfachheit und Schnelligkeit auch die Sicherheit in die Produkterstellung einfließen zu lassen. Rein freiwillige Vorgaben fanden bisher noch wenig Umsetzungsbereitschaft in der Wirtschaft“, so Michael Voss, Geschäftsführer der Gesellschaft für Telekommunikation Voss mbH.
Vom Gütesiegel bis zum Gesetz
Wenn es um IT-Sicherheit geht, besteht auch bei kommunalen Einrichtungen Nachholbedarf: Immer wieder kommen Datenlecks etwa in Rathäusern ans Licht. Als erstes Bundesland richtete Bayern deshalb zum 1. Dezember 2017 ein eigenes Landesamt für IT-Sicherheit ein. Auch für den Verbraucher ist bei der Produktwahl die Sicherheit oft nur zweitrangig. Selbst wenn Wert auf Datenschutz gelegt wird, lässt sich dieser bei Produkten nicht sofort durchschauen. Deshalb plant das BSI die Einführung eines Gütesiegels, das zunächst für internetfähige Produkte und Konsumgüter gilt, langfristig aber auch auf IT-Dienstleistungen und Softwarelösungen ausgeweitet werden kann.
„IT-Abteilungen profitieren natürlich von Produkten, die von vornherein verlässlich sind, weil sie dann weniger Geld und Zeit in ihr Sicherheitsnetz investieren müssen. Gütesiegel für die Produkte sorgen in diesem Zusammenhang für Transparenz und weniger Unsicherheit bei Verbrauchern“, weiß Voss. Außerdem setzt das Ministerium verstärkt auf Kooperationen wie etwa mit dem Zentralverband des Deutschen Handwerks (ZDH), der 2017 die entsprechende Absichtserklärung unterzeichnete. Auch versucht das BSI durch die Ausweitung der Allianz für Cyber-Sicherheit die Sensibilität für das Thema zu stärken und gleichzeitig unterstützend zu wirken. Die Allianz besteht aus Herstellern, Betreibern sowie Experten aus Wissenschaft und Forschung und unterstützt vor allem kleine und mittelständische Unternehmen. Nicht zuletzt verschärft das BSI mit dem IT-Sicherheitsgesetz die Vorschrift zu Meldungen von Datenlecks oder Hackerangriffen.
Sinkende IT-Budgets
Laut einer aktuellen Studie wurde im letzten Jahr jedes fünfte mittelständische Unternehmen Opfer von Hackerangriffen, gleichzeitig sanken die IT-Budgets im Vergleich zum Vorjahr. Besser sieht es nur bei Betreibern sogenannter kritischer Infrastrukturen (KRITIS) aus Bereichen wie Energie- und Wasserversorgung oder Informationstechnik aus: Sie mussten das neue IT-Sicherheitsgesetz bereits umsetzen, das Mindestanforderungen an die Informationssicherheit stellt.
Zwei Drittel der KRITIS-Betreiber wollen deshalb ihr IT-Budget erhöhen, erst die Hälfte konnte allerdings ihre IT-Sicherheit schon an das genannte Gesetz anpassen. Ein Ausfall der wichtigen Versorger und dessen Auswirkungen auf Wirtschaft und Gesellschaft in Deutschland rechtfertigen laut BSI ihre Behandlung als Teil der inneren Sicherheit.
Telekommunikationsunternehmen etwa verpflichtet das IT-Sicherheitsgesetz, Kunden zu warnen und ihnen nach Möglichkeit Lösungsvorschläge zur Verfügung zu stellen, wenn sie einen Missbrauch oder Angriff auf deren Anschlüsse feststellen. „Um die Kosten bei möglichen Angriffen niedrig zu halten und die Kommunikation zu erleichtern, lohnt es sich, Technik und Leistung von ein und demselben Anbieter zu beziehen“, rät Telekommunikationsexperte Voss, der als unabhängiger Dienstleister beide Seiten, also Services und Produkte, überprüft und sie durch Verhandlungen zu optimieren weiß. „Das Ziel einer gesamtstaatlichen Cyber-Sicherheitsinfrastruktur lässt sich nur mit einer Mischung aus Gesetzen und freiwilligen Kooperationen erreichen. So verbessert sich die technische Sicherheit an der Basis, während der Austausch zwischen Wirtschaft, Staat und Wissenschaft zur tiefergehenden Vorbeugung von Hackerangriffen und Datendiebstahl beiträgt“, so Voss.
Weitere Informationen finden Sie unter: