Der Bundestag hat ohne große Debatten das IT-Sicherheitsgesetz verabschiedet. Ob mit der darin wiederkehrenden Vorratsdatenspeicherung Bestand hat, darf bezweifelt werden. IT-Sicherheit braucht ohnehin andere Maßnahmen.
Von Ludger Schmitz*
„Hacker-Angriff hat Konsequenzen“, titelte die Regensburger „Mittelbayerische Zeitung“ und schreibt weiter: „Nach der Cyber-Attacke auf den Bundestag wird das IT-Sicherheitsgesetz verschärft.“ Falsch. Ein Zusammenhang zwischen Attacke und Gesetz besteht allenfalls als zeitlicher Zufall. Der Gesetzesentwurf wurde im Dezember letzten Jahres vorgelegt und hat seinen normalen parlamentarischen Weg gemacht.
Die Attacke auf das IT-System des Bundestags hat allerdings bewirkt, dass Mahnungen keine Beachtung fanden, Gerichte könnten die Vorratsdatenspeicherung wieder kassieren. Hoffentlich hat der Angriff auch zur Folge, dass die Abgeordneten IT nicht mehr für etwas halten, um das sich ein paar „Techies unter uns“ kümmern können. IT-Sicherheit ist so wichtig wie der Besuch beim Zahnarzt.
Neben der Vorratsdatenspeicherung bringt das Gesetz für einen riesigen Anwenderkreis einige Anforderungen, die noch nicht genauer definiert sind. Sie sehen nur recht grob vor, dass Behörden und Unternehmen alle notwendigen Maßnahmen zu treffen haben, damit ein Ausfall ihrer IT (ob durch Angriff oder nicht) keinen Ausfall mit nachhaltigen Folgen nach sich zieht. Nachzukommen haben dem nicht nur Behörden, Militär, Rettungs- und Katastrophendienste. Auch breitere Wirtschaftsbranchen sind gefordert: Banken und Versicherungen, Gesundheitswesen, Energie-, Telekommunikations- und Lebensmittelversorgung etc. Die genauen Vorgaben, was zu tun ist, muss das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch definieren.
Generell hört man von IT-Sicherheitsspezialisten schon seit mindestens einem dutzend Jahren, dass in ihrem Fachgebiet nichts an Open Source vorbei geht. Um nicht falsch verstanden zu werden: Open Source ist keine Garantie für Sicherheit. Software, auch quelloffene, wird von Menschen gemacht, und folglich sind Fehler nie auszuschließen. Aber Open Source gewährt einem größerem Kreis von Spezialisten Einsicht in den Sourcecode, was die Wahrscheinlichkeit erhöht, Fehler frühzeitig zu entdecken.
Nur auf der Basis von Open Source lassen sich regelrechte Review-Prozesse für Software realisieren. Closed Source verschafft nie Sicherheit, beseitigt schon gar nicht die Angst vor Hintertürchen zwecks Spionage. Das ist der Grund, warum Microsoft in Brüssel ein Büro geschaffen hat, in dem staatliche Anwender den sonst geheimen Microsoft-Sourcecode durchgehen können. Das ist eine Beruhigungsmaßnahme, aber auch nicht viel mehr als ein Placebo.
Im übrigen lässt sich IT-Sicherheit, wie sie das Gesetz anstrebt, nicht erreichen, indem man einzelne Maßnahmen forciert. Es geht nicht darum, dass Software keine offenkundigen Angriffspunkte für Hacker bietet oder die USV stark genug für die Server-Racks ist. IT ist eine Menge von Prozessen, nicht eine Versammlung von Einzelteilen. Es wird also nicht darauf ankommen, die Konformität vieler Teile mit dem Gesetz nachzuweisen.
Vielmehr gilt es, erst einmal festzustellen, welche Prozesse überhaupt laufen, welche Bedeutung sie haben, wie sie interagieren. Das ist bei vielen Anwendern überhaupt nicht richtig bekannt. Und dann geht es darum, dass die Teile der Prozesse möglichst früh kritische Zustände melden und automatisch Services auslösen, bevor ein Ausfall den Gesamtprozess unterbricht. Das Ganze nennt sich IT Service Management, dahinter steckt ITIL. Und genau das ist einer der Bereiche in der IT, in dem Open-Source-Angebote zweifelsfrei den proprietären auf Augenhöhe, wenn nicht besser sind. Kostengünstiger sind sie ohnehin. Auch eine sichere IT muss noch bezahlbar sein.
*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.
