IT-Sicherheit und Compliance sind oft eng miteinander verbunden. Im Interview mit "Wirtschaftsinformatik & Management" spricht Florian Schneider, Rechtsanwalt bei der Wirtschaftskanzlei CMS, über das Thema.
Dr. Florian Schneider ist Rechtsanwalt bei der Wirtschaftskanzlei CMS in Deutschland und im Bereich Technology, Media & Communications tätig. Er hat im Bereich des IT-Sicherheitsrechts promoviert und berät Unternehmen regelmäßig zu entsprechenden Fragen.
CMS Legal | Wirtschaftsinformatik & Management 5/2018
Wirtschaftsinformatik & Management: Wo liegen aktuell die größten Herausforderungen im Bereich IT- Sicherheit?
Florian Schneider: Im Bereich IT-Sicherheit gibt es große Aufgaben in verschiedenen Bereichen. Dazu zählen insbesondere technische Herausforderungen wie etwa, dass Angreifer zunehmend professioneller agieren und sehr viel Geld und personelle Ressourcen hinter Angriffen stecken können. Vor allem wenn zahlreiche unterschiedliche und miteinander vernetzte Systeme geschützt werden müssen, ist es für die Verantwortlichen sehr schwierig, ein hohes IT-Sicherheitsniveau technisch zu gewährleisten.
Außerdem existieren rein praktische Herausforderungen. Dazu gehört vor allem, dass es schwierig ist, geeignetes Personal mit dem entsprechenden Know-how zu finden. Nicht umsonst wurde jüngst ein „Personalaustausch“ zwischen Bundeswehr und Deutscher Telekom vereinbart. So wird Know-how zwischen zwei großen Playern im Bereich IT-Sicherheit geteilt, wovon beide profitieren. Gäbe es auf dem Markt ausreichende Ressourcen, wäre dieser Schritt wohl eher nicht gegangen worden.
Aus rechtlicher beziehungsweise rechtspolitischer Sicht steht der Gesetzgeber vor der großen Herausforderung, den bestehenden rechtlichen Rahmen sinnvoll zu erweitern. Im Ergebnis führt dies idealerweise dazu, dass den unterschiedlichen Akteuren, wozu vor allem auch die Unternehmen aus der Privatwirtschaft zählen, zusätzliche Anreize geboten werden, in IT-Sicherheit zu investieren. Wie konkret dieser Rahmen aussehen muss und mit welchen Maßnahmen dies erreicht werden kann, darüber lässt sich sicherlich streiten. Wichtig ist aber primär, dass ein wirksamer Schutz der (lebenswichtigen) Kritischen Infrastrukturen gewährleistet ist. Dazu haben das IT-Sicherheitsgesetz und die bestehende sektorspezifische Regulierung durch Mindest-Sicherheitsvorgaben und Meldepflichten einen ersten Beitrag geleistet. Mit Blick auf sonstige Unternehmen, die nicht zu den Kritischen Infrastrukturen zählen, verfolgt der Staat aber nach wie vor den Grundsatz, dass diese schon aus eigenem Interesse eine ausreichende IT-Sicherheit gewährleisten. Dies ist im Prinzip zu begrüßen. Wo allerdings noch ein Defizit – und damit entsprechendes Verbesserungspotenzial – besteht, ist der Umgang mit IT-Sicherheitswissen. Dies betrifft vor allem die Frage, ob und in welchem Umfang ein Wissensaustausch, insbesondere über Sicherheitslücken, zwischen Behörden und Unternehmen der privaten Wirtschaft erfolgt. Hier ein funktionierendes Konzept auf die Beine zu stellen, ist keine leichte, aber sicherlich eine lohnenswerte Aufgabe.
Wen betrifft das Thema besonders: große, mittlere oder kleine Unternehmen?
Das Thema betrifft alle. Allerdings haben große Unternehmen das Thema inzwischen auf der Agenda und nehmen es entsprechend ernst. Bei mittleren und kleinen Unternehmen ist teilweise noch sehr viel Fahrlässigkeit im Umgang mit dem Thema zu erkennen. Das ist gerade in Unternehmen, deren wichtigste Assets Vertrauen, Daten oder geheimes Know-how darstellen, sehr kritisch. Aber auch hier ist nach und nach ein Sinneswandel zu erkennen. Die Vorstellung, selbst nicht im Fokus von Angreifern zu sein, schwindet auch bei mittleren und kleinen Unternehmen zusehends.
Tun Unternehmen schon genug, um auf Angriffe vorbereitet zu sein?
Auch hier hängt es vor allem mit der Unternehmensgröße und der Kapazität zusammen. Während große Unternehmen eigene Abteilungen zur Abwehr solcher Angriffe unterhalten und dabei zu Testzwecken auch fortlaufend aktiv Attacken auf ihre eigenen Systeme durchführen, verlassen sich viele kleinere Unternehmen vor allem noch darauf, dass im Notfall Backups verfügbar sind, und vertrauen darauf, dass nichts passiert. Das ist natürlich nicht nur aus tatsächlicher Sicht fatal. Auch rechtlich ist ein Ignorieren grundlegender Vorbereitungen gegen Angriffe spätestens seit der Datenschutz-Grundverordnung (DSGVO) nicht mehr vertretbar. Diese hat zwar lediglich personenbezogene Daten im Blick, doch dürften bei nahezu jedem Angriff auch Daten mit Personenbezug betroffen sein. Entsprechend hat die DSGVO – nicht zuletzt aufgrund der potenziell hohen Bußgelder – dazu geführt, dass das Thema IT-Sicherheit verstärkt auf die Agenda gerückt ist. Gleichwohl muss, wie so häufig, wohl erst „etwas passieren“, bevor dem Aspekt ausreichende Bedeutung beigemessen wird. Das ist jedenfalls bei mittleren und kleinen Unternehmen zu beobachten, sobald es zu einem Vorfall gekommen ist.
Lesen Sie das komplette Interview in "Wirtschaftsinformatik & Management" (5/2018) – hier in der digitalen Fachbibliothek von Springer Professional!