- eco Leitlinien zur IT-Sicherheitspolitik veröffentlicht
- Gegen weitere Haftungspflichten für IT-Dienstleistungen und –Produkte
- Konsequente Umsetzung statt Strategie-Overload
Vertrauen ins Netz stärken – staatliche Überwachung eingrenzen, so lautet einer der wesentlichen Grundsätze, die die Bundesregierung für eine zeitgemäße Cybersicherheitsstrategie berücksichtigen sollte. Dies geht aus den aktuellen Leitlinien zur IT-Sicherheitspolitik in Deutschland hervor, die eco – Verband der Internetwirtschaft e.V. heute veröffentlicht hat. Der Verband spricht sich darin insbesondere gegen weitere Haftungspflichten für IT-Dienstleistungen und –Produkte aus. Im Hinblick auf die von der Bundesregierung für diesen Herbst angekündigte Verabschiedung der neuen Cybersicherheitsstrategie warnt eco Vorstand Politik & Recht Oliver Süme außerdem vor einem Strategie-Overload, die Bundesregierung dürfe neben aller Strategieentwicklung, auch die Umsetzung der sicherheitspolitischen Maßnahmen nicht aus den Augen verlieren:
„Mit dem IT-Sicherheitsgesetz und der Rechtsverordnung für kritische Infrastrukturen hat die Bundesregierung erste wichtige Schritte hin zu mehr IT-Sicherheit getan. Jetzt sollten die darin festgeschriebenen Regelungen erstmal umgesetzt werden, bevor man neue sicherheitsstrategische Fragen in Angriff nimmt“, sagt eco-Vorstand Politik & Recht Oliver Süme. Die Internetbranche sehe sich als enger Partner der Politik in IT-Sicherheitsfragen und habe von sich aus ein starkes Interesse an einem hohen IT-Sicherheitsniveau, so Süme. Die Wirtschaft setze hierbei aber vor allem auf eine möglichst breite Nutzeraktivierung und –Aufklärung. Panikmache und übertriebene Überwachung durch staatliche Behörden, wie etwa die aktuell diskutierte Verpflichtung zur schnelleren Herausgabe von Nutzerdaten oder die Einführung eines einheitlichen Identitätsmanagements, lehne man hingegen ab, da sie Misstrauen fördere und innovative Dienste behindere.
Alle eco Leitlinien für eine zeitgemäße IT-Sicherheitspolitik im Überblick
eco hält den Auf- und Ausbau der Resilienz gegenüber IT-Angriffen für unerlässlich. Er sieht dazu folgende Voraussetzungen als zwingend notwendig an:
- Gegenseitiges Vertrauen und Zusammenarbeit zwischen Staat und Internetwirtschaft: Staat und Wirtschaft sollten darauf vertrauen, dass beide Seiten verlässliche Partner bei der Realisierung von mehr IT-Sicherheit sind. Dies geschieht am ehesten durch gemeinsame Projekte und Partnerschaften.
- Sicherheitsstandards und Maßgaben so umsetzen, dass Internetnutzer „mitgenommen werden“: Der Schwerpunkt sollte dabei darauf gelegt werden, Unternehmen, Nutzerinnen und Nutzern mit sachgerechten Informationen für die Sicherheit ihrer IT-Systeme zu versorgen. Einfache Sicherheitschecks, Selbsttests und Cleaner Tools helfen mehr, als Warnhinweise oder Bekanntmachungen, die für Verunsicherung sorgen. Eingriffe in Netze, Dienste oder Haftungsregime sind keine Lösung bei der Durchsetzung von IT-Sicherheit.
- Wettbewerb um starke IT-Sicherheit fördern: Man sollte nicht den Versuch unternehmen, IT-Sicherheit durch enge, rigide und pauschal hohe Auflagen zu erreichen. Stattdessen sollten mehr preiswerte, einfach bedienbare Sicherheitsprodukte mit einem hohen Schutzniveau dem Markt zur Verfügung gestellt und so ein Wettbewerb um starke IT-Sicherheit gefördert werden.
- Rechtsstaatsprinzip wahren – Vertrauen ins Netz erhalten: Keine Eingriffe in Netze oder Dienste ohne entsprechende richterliche Anordnung. Das Vertrauen der Nutzer in das Internet muss erhalten bleiben. Es darf nicht der Eindruck entstehen, man sei dort der Willkür von Providern oder Diensteanbietern ausgesetzt. Auch dürfen diese nicht für hoheitliche Aufgaben herangezogen werden.
- IT-Sicherheit als dynamisches Thema verstehen: Es muss ein grundsätzliches Verständnis für die Entwicklung von IT-Systemen bestehen, in dem allen Beteiligten klar ist, dass ein System nicht als „sicher“ definiert werden kann. Haftungsauflagen o.ä. sind hierfür ungeeignet. Sinnvoller ist es, gemeinsame Forschungsprojekte und Penetrationstests durchzuführen, um IT-Systeme gemeinsam besser absichern zu können.