Der neueste, am Freitag prominent gewordene Datenskandal hat wieder einmal mehr verdeutlicht, dass IT-Sicherheit mehr als bloß eine gesetzliche Vorgabe oder gar nur politische Forderung ist, sondern das Thema theoretisch jedermann zu jederzeit betreffen kann. Deutlich wurde auch, dass es vielleicht nicht nur darum geht, bestimmte Einrichtungen als bloße Institution zu schützen, sondern eben auch diejenigen natürlichen Personen, die hinter der Einrichtung stehen, dort arbeiten und damit in einem wesentlichen Sinne auch ihre Funktionsfähigkeit ausmachen. Und nicht zuletzt wurde klar, wie weit sich der Bogen beim Thema Cybersecurity eigentlich spannen lässt: Von politischen Impulsen über rechtliche Vorgaben, hin zu technisch-organisatorischen Maßnahmen der Datensicherheit und des Datenschutzes, und schlussendlich wieder zurück in die Politik, wenn es um die Beeinflussung und Manipulation demokratischer Willensbildungsprozesse geht.
Staat und Verwaltung – keine Kritische Infrastruktur?!
Doch kommen wir bei dieser Betrachtung zuerst dahin, wo alles – zumindest soweit es um das Thema gesetzliche Regelungen geht – beginnt: der rechtspolitischen Lage. Die Cyber-Sicherheit betreffend ist Deutschland hier eigentlich Vorreiter. Schon 2005 wurde von der Bundesregierung als umfassende Dachstrategie zur IT-Sicherheit der Nationale Plan zum Schutz der Informationsinfrastrukturen (NPSI) verabschiedet, der durch die Cyber-Sicherheitsstrategien von 2011 und 2016 abgelöst wurde. Alles dreht sich hierbei um die drei strategischen Ziele „Prävention, Reaktion und Nachhaltigkeit“. Als politische Grundlage bildeten und bilden die Cyber-Sicherheitsstrategien auch die Blaupause für die entsprechende bereichsspezifische Gesetzgebung, die sich bisher vornehmlich im IT-Sicherheitsgesetz (IT-SiG) von 2015 manifestierte. Hier wurden durch Änderung des BSI-Gesetzes erstmals umfassende Pflichten zur IT-Sicherheit von Kritischen Infrastrukturen festgeschrieben, so im Schwerpunkt die Umsetzung technisch-organisatorischer Maßnahmen gemäß dem „Stand der Technik“ und Meldepflichten für IT-Sicherheitsvorfälle. Interessanterweise blieb im IT-SiG die Definition der Kritischen Infrastrukturen hinter der KRITIS-Definition des BMI zurück, denn insbesondere der Sektor „Staat und Verwaltung“, der laut BMI unter anderem Regierung und Verwaltung, Parlament und Justizeinrichtungen umfasst, wurde als solcher nicht in das IT-SiG einbezogen. Argument war damals, dass die „schützende Einrichtung nicht gleichzeitig als zu schützende Einrichtung“ qualifiziert werden könne. Gleichwohl stehen staatliche Einrichtungen damit unter Cyber-Sicherheitsgesichtspunkten nicht völlig schutzlos da, denn das BSI besitzt auch hier einen entsprechenden Auftrag, Bundeseinrichtungen bei der Realisierung von IT-Sicherheitsmaßnahmen zu unterstützen. Fraglich ist aber, ob dies ausreichend ist – oder nicht doch darüber nachgedacht werden sollte, im Rahmen der zurzeit anstehenden Novelle des BSIG durch das „IT-SiG 2.0“ auch den Staat als Kritische Infrastruktur nunmehr explizit einzubeziehen – mit allen damit verbundenen Rechten und Pflichten. Schließlich ist es auch nicht das allererste Mal, dass wir von IT-Sicherheitsproblemen auf Ebene der Bundesregierung hören; der Hackerangriff von 2015 auf das Parlament zog ähnlich weite Kreise, und war letztlich wohl nur eine einfache Phishing-Attacke.
Eine neue Dimension digitaler Bedrohungen
Fraglich dürfte aber letztlich sein, ob Gesetze hier allein ausreichend oder überhaupt das geeignete Mittel darstellen, um derlei Angriffen zu begegnen, die in immer wiederkehrender Häufigkeit die Öffentlichkeit aufrütteln. Bei dem jüngsten Ereignis ist schon fraglich, ob es sich tatsächlich um einen Angriff handelt – letztlich wurden hier nur Informationen veröffentlicht, die über einen Zeitraum von scheinbar mehreren Jahren über verschiedene Quellen gesammelt wurden. Auch sind keine Daten und Dokumente betroffen, die unmittelbar die Funktionsfähigkeit der Regierung oder des Parlaments betreffen, aber sehr wohl die Reputation von Personen des öffentlichen Lebens, die hinter besagten Einrichtungen stehen und damit für deren Funktionsfähigkeit essenzieller Bestandteil sind. Insoweit erreicht die Cyber-Sicherheit, verglichen mit ihren bisherigen Zielen und Prämissen, für den vorliegenden Fall eine neue Dimension, da wir hier eine Verquickung von Privatem und Dienstlichem vorfinden, wie sie bisher in diesem Ausmaß ungekannt gewesen ist. Vieles dürfte in diesem Zusammenhang auch der Tatsache geschuldet sein, dass sich im Zeitalter der allgegenwärtigen Vernetzung Berufliches von Privatem auch immer schwieriger trennen lässt – und das wohl insbesondere dann, wenn sich Beruf und Privates natürlicherweise miteinander vermengen, wie es bei den betroffenen Politikern und Prominenten der Fall ist. So werden personenbezogene Daten nicht nur auf verschiedenen Endgeräten gespeichert, sondern auch synchronisiert. Hierdurch treten neue, für die IT-Sicherheit relevante technische Angriffsvektoren zutage. Es geht also folglich nicht allein um die Frage, ob Regierung und Parlament zukünftig Kritische Infrastrukturen im Sinne des Gesetzes sein sollen, sondern ob und wie diejenigen Personen, die hinter ihnen stehen, effektiv geschützt werden können.
Selbstschutz versus Drittschutz
[…]
Der vollständige Beitrag kann an dieser Stelle im beck-blog abgerufen werden.