Das Bundesamt für Sicherheit in der Informationstechnik (BSI) feierte zu Jahresbeginn seinen 30. Geburtstag. Die Cyber-Sicherheitsbehörde will Informationssicherheit in der Digitalisierung gestalten. Das wird auch im Rechtsbereich immer wichtiger, wie Steve Ritter der RDi erläutert. Der Jurist leitet im BSI das Referat „IT-Sicherheit und Recht“.
RDi: Wie ist es um die IT-Sicherheit hierzulande heute ganz grundsätzlich bestellt?
Ritter: Da ist durchaus noch Luft nach oben vorhanden. Das Thema IT-Sicherheit wurde von vielen lange entweder kaum oder als Kostentreiber wahrgenommen. Daher fehlt es noch zu oft an der Umsetzung grundlegender IT-Sicherheits- Maßnahmen, wie etwa dem konsequenten Einspielen von Sicherheitspatches oder Backups. Doch zum Glück ändert sich das. Die vielen IT-Sicherheitsvorfälle und Cyber-Angriffswellen der letzten Jahre haben das Thema in das Bewusstsein der Verantwortlichen in Wirtschaft und Verwaltung gerückt. Auch der Gesetzgeber hat daran seinen Anteil. IT-Sicherheit wird immer häufiger gesetzlich verankert, etwa in Form von Absicherungspflichten für bestimmte Bereiche.
RDi: Wie sieht es in der Rechtspflege aus, konkret bei den Gerichten?
Ritter: Trotz ihrer Bedeutung sind die Organe der Rechtspflege leider keine Kritische Infrastruktur im Sinne des BSI-Gesetzes, so dass wir als BSI kaum Informationen zum Stand der IT-Sicherheit dort erhalten. Klar ist, IT-Sicherheit erfordert Ressourcen und wie jede Investition auch Finanzmittel. Andere Bereiche sind da weiter, mitunter dank gesetzlicher Regelungen. So regelte der Bund im Gesundheitsbereich mit dem Krankenhauszukunftsgesetz, dass mindestens 15 Prozent der Investitionen in die IT- und Cybersicherheit in den Krankenhäusern gehen.
RDi: Und bei den Anwälten?
Ritter: Auch Anwälte, vor allem die Wirtschaftskanzleien sind heutzutage Ziel von Cyber-Angriffen, z.B. durch DDoS-Attacken. Insbesondere die größeren Kanzleien scheinen das Thema aber mit eigenem IT-Personal und externen Dienstleistern gut im Blick zu haben. Mehr Sorgen mache ich mir um kleinere Kanzleien, die weder das Know-how noch die Ressourcen für Experten haben. Mit den Diskussionen um die Nutzbarkeit von Cloud-Lösungen oder die Startprobleme beim beA ist das Thema aber zumindest auch da bei vielen angekommen. Es wäre sicherlich sinnvoll, wenn mehr Kanzleien sich darüber austauschen, wie sie ganz konkret IT-Sicherheit realisieren und z.B. die Empfehlungen des BSI für sich umsetzen.
RDi: Wie schätzen Sie die Sicherheit des besonderen elektronischen Anwaltspostfachs (beA) ein?
Ritter: Das BSI hat beim beA keine offizielle Rolle. Daher kann ich dazu leider keine belastbare Aussage treffen. Für etwas so Wichtiges wie den elektronischen Rechtsverkehr der Anwaltschaft könnte man sich ein Modell vorstellen, ähnlich wie bei den Kritischen Infrastrukturen, bei dem IT Sicherheitskonzepte und Anforderungen mit dem BSI abgestimmt werden.
RDi: Was sind Schwerpunkte Ihrer Tätigkeit der Rechtsabteilung des BSI?
Ritter: Anders als in anderen Behörden gibt es im BSI praktisch keine Juristen in den Fachreferaten. Daher ist unser Referat der Full-Service Rechtsdienstleister im und für das BSI. Wir beraten zu allen juristischen Themen, von Vertragsfragen bis hin zu den rechtlichen Rahmenbedingungen des operativen Handelns, also was dürfen die Referate tun und wie dürfen sie das. Da das BSI-Gesetz noch relativ jung und rechtswissenschaftlich noch nicht durchdrungen ist, beschäftigen uns auch oft Auslegungsfragen. Daneben suchen wir aber auch immer nach Wegen, wie wir die IT-Sicherheit in Deutschland durch rechtliche Änderungen verbessern können – etwa was man an Gesetzen ändern muss, damit IT-Sicherheitsmaßnahmen erlaubt oder vorgeschrieben werden. Das versuchen wir bei Gesetzgebungsvorhaben einzubringen.
RDi: Wo sehen Sie die größten Baustellen für die Zukunft beim Thema IT-Sicherheit?
Ritter: Die größten Baustellen sehe ich in der zunehmenden Digitalisierung und in den oft noch unklaren Verantwortlichkeiten für IT-Sicherheit. Bei Digitalisierungsvorhaben stehen oft die funktionalen Aspekte im Vordergrund. Security by Design hat noch nicht überall in der IT Einzug gehalten. IT-Sicherheit muss nach unserer Meinung von der Entwicklung bis zum Einsatz fest verankert werden. Entwickler müssen sichere Produkte konstruieren. Nutzer müssen risikobewusster sein, etwa indem sie Patches zeitnah installieren oder die Antwort auf die Frage, wie sicher ist das IT-Produkt, auch zum Kaufkriterium machen. Damit das funktioniert, müssen Sicherheitseigenschaften beim Kauf erkennbar sein, etwa durch ein IT-Sicherheitskennzeichen. Es gibt also noch viel zu tun.