Themen: Leitplanken in der digitalen Welt Vertrauen und Sicherheit im Internet 
Spätestens seit den Attacken auf IT-Infrastrukturen ganzer Länder wie Estland, exponierter Stellen wie das Bundeskanzleramt, Wirtschaftsunternehmen wie Sony und die Citibank sowie der Sabotage des iranischen Atomprogramms mittels des STUXNET-Computerwurms ist das Thema der IT-Sicherheit endgültig in das Bewusstsein der Öffentlichkeit gerückt. Im Mittelpunkt der Ursachenfindung steht die wenig überraschende Erkenntnis, dass sich die Vorteile des erweiterten Einsatzes von Informations- und Kommunikationstechnologie (IuK-Technologie) und der globalen Vernetzung, insbesondere der Internet-Nutzung, Hand in Hand mit der Schaffung neuer Risikofaktoren geht.
Diese Risikofaktoren können aber auch Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen betreffen. Bei deren Ausfall oder Beeinträchtigung würden nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten – namentlich im Bereich der kritischen Infrastrukturen. Dazu gehören etwa Energieversorgung, Transport und Verkehr, Telekommunikation oder auch Finanz- und Geldwesen. Die Erhöhung der Gefährdungspotenziale fordert höhere Maßstäbe an die IT-Sicherheit und damit auch an die Politik.
Die Bundesregierung hat auf diese neuen Bedrohungen im Jahr 2005 mit dem „Nationalen Plan zum Schutz der Informationsinfrastrukturen“ (NPSI) reagiert und die IT-Sicherheit in den Fokus der rechtspolitischen Agenda genommen. Zur Ausgestaltung dieses Plans für den Bereich der kritischen Infrastrukturen folgte 2007 der in Zusammenarbeit mit 30 großen Infrastrukturunternehmen und Interessenverbänden entwickelte „Umsetzungsplan KRITIS“ (UP-KRITIS). Er vermochte aufgrund einer freiwilligen Selbstverpflichtung der beteiligten Organisationen die Gewährleistung eines Mindestniveaus in der IT-Sicherheit durchzusetzen.
Dem NPSI folgte 2009 die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ (KRITIS-Strategie). Sie fasst die Zielvorstellungen und den politisch-strategischen Ansatz des Bundes zusammen und bildet den Ausgangspunkt, das bislang Erreichte auf konsolidierter Grundlage fortzusetzen und mit Blick auf neue Herausforderungen weiterzuentwickeln.
Wichtigstes inhaltliches Ziel der Nationalen Strategie ist es, das Schutzniveau für die kritischen Infrastrukturen in Deutschland durch geeignete und mit allen Akteuren abgestimmte Maßnahmen gegenüber den vorhandenen und zu erwartenden Risiken so anzupassen, dass Risiken im Vorfeld erkannt werden, gravierende Störungen und Ausfälle vermieden bzw. auf ein Mindestmaß beschränkt werden (Prävention); Folgen von Störungen und Ausfällen durch Notfallmanagement, Redundanzen und Selbsthilfekapazitäten so gering wie möglich gehalten werden (Reaktion) und laufend fortgeschriebene Gefährdungsanalysen sowie Analysen von Störanfällen zur Verbesserung der Schutzstandards genutzt werden (Nachhaltigkeit). Da sich die Mehrzahl der kritischen Infrastrukturen in privater Hand befindet, steht die Zusammenarbeit der relevanten Akteure aus Staat und Wirtschaft im Mittelpunkt der nationalen Strategie.
Der Begriff der IT-Sicherheit ist einem hohen Grad an Dynamik unterworfen, um das Risiko dramatischer Folgen gleichermaßen für Staat, Wirtschaft und Gesellschaft zu minimieren. Was jedoch heute noch „State-of-the-Art“ ist, gehört bereits morgen zum „alten Eisen“.
Die Realisierung ist aber gerade im Bereich der kritischen Infrastrukturen komplex, da die Gefahrenvorsorge nicht erst an den Schnittstellen zu den gefährdeten Netzen einsetzen kann. Sie muss im Prinzip alle an IT-Netzen und IT-Produkten Beteiligten mit einbeziehen, um nicht nur punktuell zu wirken. Der Schutz kritischer Infrastrukturen bedingt daher letztendlich die Vorverlagerung des Schutzes und die Neuordnung der Produktsicherheit und der Netze im Bereich der IT schlechthin.
Ein möglicher Ansatzpunkt könnte eine Regelung zur Produkt- und zur Anlagen- sowie Netzsicherheit bieten. Diese würde breitflächig und querschnittsartig die IT-Sicherheitsanforderungen gesetzlich normieren, die eigentliche technische Standardsetzung aber Gremien überlassen. Zwar bietet das geltende Recht bereits Möglichkeiten, die Sicherheitsanforderungen an Netze zu konkretisieren, etwa im TKG; doch fehlt es an einem übergreifenden Konzept, das nicht nur die Netze erfassen würde, sondern auch die Netzteilnehmer, die Hersteller von Hard- und Software sowie weitere Intermediäre.
Bislang sind alle Maßnahmen punktuell und werden den systemischen Risiken der IT-Sicherheit nicht gerecht. Ein IT-Sicherheitsgesetz könnte hier bei gleichzeitiger Harmonisierung anderer Rechtsnormen für einen grösseren Handlungsspielraum sorgen. Für besonders gefahrgeneigte Technologien könnten zudem Zertifizierungsverfahren vergleichbar der Produktsicherheit eingeführt werden.
Die Notwendigkeit hierzu ist evident und sollte über das politische Tagesgeschäft hinaus konsequent weiter betrieben werden. Ob ein solches Gesetz kurzfristig zu realisieren ist, steht politisch noch in den Sternen. Auf jeden Fall aber müssen derartige Maßnahmen mit den Vorhaben der EU verzahnt werden, wobei Deutschland der Motor für die Fortentwicklung sein könnte.
Prof. Dr. Gerald Spindler
Prof. Dr. Gerald Spindler (*1960) studierte Rechtswissenschaften und Wirtschaftswissenschaften an den Universitäten Frankfurt am Main, Hagen, Genf und Lausanne.
Nach dem Studium arbeitete er am Institut für Internationales und Ausländisches Wirtschaftsrecht in Frankfurt. 1993 wurde er mit einer rechtsvergleichenden Dissertation „Recht und Konzern“ promoviert. 1996 habilitierte er sich mit einer Schrift über die Pflichten der Unternehmensorganisation und erwarb die Lehrbefugnis für Bürgerliches Recht, Handels- und Wirtschaftsrecht, Internationales Privatrecht, Rechtsvergleichung und Arbeitsrecht.
Seit 1997 ist Spindler ordentlicher Professor und Lehrstuhlinhaber für Bürgerliches Recht, Handels- und Wirtschaftsrecht, Rechtsvergleichung, Multimedia- und Telekommunikationsrecht an der Universität Göttingen.
Spindler war stellvertretender Vorstandsvorsitzender der Deutschen Gesellschaft für Recht und Informatik. In den Jahren 2000 und 2001 war er Dekan und von 2002 bis 2004 Finanzdekan der Juristischen Fakultät der Göttinger Universität. Darüber hinaus ist er Mitglied der Akademie der Wissenschaften zu Göttingen.