Daten- und Informationssicherheit: So entsteht mehr Vertrauen

Der Gesetzgeber ist bereits punktuell tätig geworden: So sind zum Beispiel Mindestsicherheitsstandards und eine Meldepflicht für Sicherheitsvorfälle in besonders kritischen Wirtschaftsbereichen vorgeschrieben. Das reicht aber nicht: Erforderlich ist zudem eine von Politik, Anbietern und Anwendern getragene Gesamtstrategie für ein sicheres „digitales Ökosystem“, deren Maßnahmen zielgerichtet ineinandergreifen.

Zunächst sollten die Anbieter die Vertrauenswürdigkeit von Produkten erhöhen, die auf dem Einsatz von Soft- und Hardware basieren. Das Entwicklungsprinzip „Security by Design“ – also die Berücksichtigung von Sicherheitsaspekten in allen Phasen der Softwareentwicklung – sollte obligatorischer Bestandteil der industriellen Standardisierungsprozesse bei Produkten, Softwarekomponenten und anderem sein. Für einen angemessenen Zeitraum sollten die Hersteller Sicherheitsupdates für solche Produkte zur Verfügung stellen. Zur Sensibilisierung der Nutzer kann eine spezielle IT-Sicherheitskennzeichnung beitragen, die mehr Transparenz über die  Sicherheitseigenschaften IT-basierter Produkte herstellt. Ein solches Kennzeichen sollte europaweit einheitlich sein. Der Gesetzgeber sollte nicht zu früh tätig werden. Werden Sicherheitsstandards nicht eingehalten, ist das bestehende Haftungsrecht weitestgehend auf IT-Produkte anwendbar. Daher sind zunächst keine neuen, zusätzlichen Regelungen notwendig. Sinnvoll wäre aber eine Prüfung, inwieweit das bestehende Recht gegenüber Anbietern aus Drittstaaten auch durchgesetzt werden kann.

Die Daten- und Informationssicherheit gehört zur Sorgfaltspflicht eines jeden Geschäftsführers, der IT im Einsatz hat. IHKs und diverse IT-Sicherheitsinitiativen helfen dabei, grundlegende Maßnahmen zu ergreifen. Darüber hinaus bieten Bund und Länder zum Teil auch finanzielle Unterstützung für Beratung, Weiterbildung oder für die Einführung technischer und organisatorischer Maßnahmen. Diese Angebote sollten weiter ausgebaut und einfacher zugänglich gemacht werden.

Ein wichtiger Faktor für mehr Sicherheit in den Unternehmen sind deren Mitarbeiter. Digitalkompetenzen sind Voraussetzung dafür, dass auch IT-Sicherheit besser verstanden und eingeschätzt werden kann. Digital- und IT-Sicherheitskompetenzen sollten schon in der Schule, in der Ausbildung, im Studium sowie in der beruflichen Weiterbildung auf dem Lehrplan stehen. Erforderlich dafür sind nicht nur finanzielle Mittel für den Anschluss aller Schulen ans schnelle Internet und die Ausstattung der Schulen mit technischen Geräten, sondern auch eine stärkere Gewichtung entsprechender Lerninhalte in der Lehrerausbildung und in IT-Studiengängen.

Insbesondere kleine und mittlere Unternehmen stehen derzeit noch zu wenig im Austausch mit Sicherheitsbehörden und anderen Betrieben. Deshalb ist es wichtig, das Zusammenspiel zwischen Staat und Wirtschaft effektiver zu organisieren. Unternehmen benötigen sachkundige Ansprechpartner in den Regionen, die es etwa bei IHKs gibt, und kürzere Kommunikationswege mit den Sicherheitsbehörden auf Landesebene.

Alle Bundesländer haben inzwischen zentrale Ansprechstellen für Unternehmen eingerichtet. Diese müssen weiter ausgebaut werden – quantitativ und qualitativ.

Die Eckpunkte der DIHK für eine Gesamtstrategie gibt es zum Download unter www.dihk.de/it-sicherheit

Quelle: DIHK Berlin