Gespannt war ich ja schon auf den ganz großen Wurf: Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ tangiert uns von SpaceNet ja schließlich auch als Internet-Serviceprovider.

War aber leider nix. Ich bezweifle lebhaft, ob dieses neue Gesetz das Netz auch nur ein Fitzel sicherer machen wird. Denn was es verlangt, ist erstens unrealistisch, weil nicht durchführbar und zweitens leider auch ziemlich sinnfrei. Mann kann bekanntlich auch bei einer prinzipiell gut gemeinten Idee weit über das Ziel hinausschießen. Das Gesetz sieht vor, dass jeder Angriff auf kritische Infrastrukturen dokumentiert und an das Bundesamt für Sicherheit (BSI) gemeldet werden muss. Und dies – Achtung: das muss man sich wirklich auf der Zunge zergehen lassen! – unabhängig davon, ob der Angriff erfolgreich war oder nicht!

Der Wahnsinn. Muss man sich mal klar machen: An jedem einzelnen Tag, in jeder Stunde und jeder Minute erfolgen Angriffe verschiedenster Art. In einer Minute können Tausende Angriffe gleichzeitig stattfinden: (versuchtes) Einschleusen von Schadsoftware, Infizieren eines Benutzerrechners (Botnet), Phishing-Mails, oder Denial-of-Service-Attacken. Doch nur jeder 1,76 Millionste Angriff muss ernster genommen werden (Quelle: SpaceNet, unsere interne Berechnungen).

Nimmt man die Meldepflicht ans BSI also wörtlich, führt dies zu einem wahren Tsunami an Meldungen, denn BSI-meldepflichtig wäre ja auch, wenn zum Beispiel eine von zwei Firewalls , einer von zwei Virenscannern, eine Klimaanlage für drei Minuten oder der Strom ausfällt, wobei bei Letzterem natürlich das Notstromaggregat anspringt. Denn in all diesen Fällen handelt es sich per Definition des Gesetzes um einen Vorfall, der zu einer „Beeinträchtigung der Funktionsfähigkeit der (…) betriebenen kritischen Infrastrukturen (…) führen (kann)“. Armes BSI, ich hoffe, sie suchen schon intensiv nach jungen, kompetenten, dynamischen und vor allem belastbaren Mitarbeitern.

Wenn ich mich selbst als kritische Infrastruktur betrachte, dann müsste ich in Zukunft also jedes Mal, wenn ich das Gefühl habe, eine Erkältung zu bekommen, eine anonyme Meldung an meinen Hausarzt schicken. Der wird sich sicher freuen. Da fällt mir gerade noch ein passender Spruch von Gerhard Uhlenbruck ein: Ein richtiger Hypochonder begleitet seinen Arzt in den Urlaub. Oder mit anderen Worten jedes Mal einen nur potentiellen Brand an die Feuerwehr melden, während es woanders vielleicht wirklich gerade brennt, erscheint vielleicht doch noch ein wenig unausgereift, nicht wahr?

Also irgendwie gut gemeint, aber dann doch ziemlich daneben dieses tolle neue Gesetz für ganz viel IT-Sicherheit, das zu einem gewaltigen bürokratischen Overkill führen wird. Und wer bitteschön, soll in all dem Wust an Meldungen von Angriffen verschiedenster Level und Gefährdungsstufen ernsthafte Aussagen zur Gefahrenlage treffen?

Ganz abgesehen davon, sollte jeder verantwortungsbewusste und erfahrene ISO27001-zertifizierte Internet-Serviceprovider wie zum Beispiel auch SpaceNet doch schon jetzt gänzlich unabhängig vom Gesetzgeber, IT-Sicherheit auf höchstem Niveau bieten. Und ich hoffe doch wirklich sehr, bei den ebenfalls als Betreiber kritischer Infrastrukturen ebenfalls betroffenen Kernkraftwerken ist das genauso!

Bei SpaceNet sind die Daten unserer Kunden durch modernste Sicherheits- und Versorgungssysteme geschützt. Monitoring-Tools überwachen den Betrieb rund um die Uhr, an 365 Tagen im Jahr und jeder Störfall wird sofort automatisch an die Stelle gemeldet, die sicherheitsrelevante Vorfälle sammelt und analysiert: den CISO (Chief Information Security Officer). Denn nur dieser kann schnell ermitteln, ob ein vielleicht harmloser Vorfall nicht doch Nebenwirkungen haben könnte, die es zu untersuchen gilt.

Ich kann also keine großartige Verbesserung der IT-Sicherheit durch dieses Gesetz feststellen. Ganz abgesehen davon, dass nicht Gesetze die technische Sicherheit erhöhen, sondern immer noch Menschen: Ingenieure, Administratoren, Systemtechniker. Diesen Menschen die Arbeit zu erleichtern, das wäre die geeignete Maßnahme zur Erhöhung der IT-Sicherheit bei uns. Beim bloßen Verdacht einer ernsthaften Erkältung jedes Mal eine anonyme Meldung an den Arzt zu schicken, kann dagegen noch nicht der Weisheit letzter Schluss sein.