Zum Inhalt springen
european-union-155207_640_Korse
03 Februar 2014

Gesetze, Cybersicherheit und Schutz kritischer Infrastruktur

Beckstrom’s Law of Cybersecurity

Im Bereich Cybersicherheit gibt es ein neues “Gesetz”. Rod Beckstrom hat auf der diesjährigen DLD14 Konferenz das Beckstrom’s Law of Cybersecurity vorgestellt.  Danach soll gelten:

  1. Anything attached to a network can be hacked.
  2. Everything is being attached to networks.
  3. Everything is vulnerable.

Die Liste von nach Personen benannten Gesetzen ist lang. Die Liste der Gesetze mit Internetbezug wächst. Ein weiteres Beispiel ist etwa das Matcalfesche Gesetz,  demzufolge der Wert eines Kommunikationsnetzwerkes proportional mit dem Quadrat der Netzwerkteilnehmer steigt. Ein anderes Beispiel sind die Zuboffschen Gesetze, von denen eines sagt, dass jede digitale Anwendung, die sich für Überwachung und Kontrolle eignet, auch dafür verwendet werden wird. Zu den bekanntesten Gesetzen gehört wohl das Mooresche Gesetz, nach dem sich die Anzahl der Transistoren auf Mikrochips regelmäßig verdoppelt. Solche Gesetze sind ihrer Natur nach Faustregeln und können möglicherweise zum Teil als obsolet betrachtet werden. Für den Bereich Datenschutz sind solche Gesetzmäßigkeiten aber ernst zu nehmen. In vielen Fällen ist die Datensicherheit nicht minder wichtig.

Beckstrom’s Law verdeutlicht, dass eine absolute Cybersicherheit nicht erreichbar ist. Dies als Arbeitshypothese unterstellt, bleibt die Herausforderung bestehen, wie eine relative Sicherheit entwickelt werden kann. Strittig ist insbesondere das konkrete Design der Sicherheitsarchitektur für kritische Informationsinfrastrukturen. Es bestehen zahlreiche Probleme auf rechtlicher, politischer und technischer Ebene.

Zunächst: Cybersicherheit umfasst grob eingeteilt die Bereiche Cyberkriminalität, Cyberspionage und Cyberwar. Informationssicherheit ist eine große Teilmenge von Cybersicherheit. Ein weiterer großer Bereich ist Cybersicherheitspolitik.

Nationale Regierungen weltweit und auch die Europäische Union haben dem Thema eine sehr hohe Priorität eingeräumt. Die Bundesregierung hat vor dem Hintergrund der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie im Koalitionsvertrag die Verabschiedung eines IT-Sicherheitsgesetzes vorgesehen. Die Europäische Union hat 2013 eine europäische Cybersicherheitsstrategie vorgelegt, deren Herzstück eine Richtlinie über die Netz- und Informationssicherheit ist.

Die Strategiepapiere und die Gesetzes- und Richtlinienvorschläge zielen vor allem auf den Schutz sog. kritischer (Informations-)Infrastrukturen. Die Infrastrukturen werden deshalb als kritisch bezeichnet, weil sie Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen sind, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Unter Informationsinfrastrukturen werden sowohl der Sektor der Informations- und Kommunikationstechnik (IKT) selbst als auch die IKT-basierten Infrastrukturen anderer Sektoren verstanden.

Probleme rechtlicher, politischer und technischer Natur

Im Bereich des Schutzes kritischer Informationsinfrastrukturen gibt es zahlreiche Probleme zu lösen, deren Spektrum hier nur im Ansatz aufgezeigt werden kann.  Die Debatte um den Schutz kritischer Informationsinfrastrukturen kann zum größten Teil aber ideologiefrei geführt werden, Informations- und Kommunikationstechnologien stellen in jeder Gesellschaftsform das zentrale Nervensystem des gesellschaftlichen und wirtschaftlichen Lebens dar. Dem Staat kommt zudem rechtlich die Aufgabe zu, für den Schutz der (kritischen) zivilen Netze und Informationen zu sorgen. Die Vorhaben auf europäischer Ebene stützen sich hauptsächlich auf die Kompetenz zur Binnenmarktharmonisierung.

Die Spannbreite der Lösungsansätze in Europa reicht von der defensiv-präventiven Strategie der Schaffung resilienter IKT-Strukturen im Modus der Selbstregulierung der größtenteils privaten Infrastrukturbetreiber bis hin zur technischen Entnetzung als rechtlich gebotene Option zum Schutz kritischer IKT. In den sensibelsten Bereichen wie bei Kernkraftwerken ist letzteres unstreitig.

Rechtlich wird die Bestimmung der “Kritikalität” von Infrastruktur ein wesentliches Problem der näheren gesetzlichen Vorhaben sein. Dabei geht es um die Frage, welche Infrastrukturen den rechtlichen Vorgaben erfasst werden. Der ursprüngliche europäische Richtlinienvorschlag ging sehr weit und erfasste sogar Cloud-Computing-Dienste. Je mehr Dienstanbieter in die Anwendungsbereiche der rechtlichen Maßnahmen fallen, desto höher wird auch der bürokratische und finanzielle Aufwand. Dies kann auch dem Anliegen entgegenlaufen, nur die wichtigsten Infrastrukturen zu erfassen. Nicht jede wichtige Netz- und Informationsinfrastruktur ist also eine kritische Infrastruktur.

Aus governancetheoretischer Perspektive stellt sich die Frage, wie die Zusammenarbeit von privaten und öffentlichen Akteuren konkret ausgestaltet werden kann wie etwa in Multi-Stakeholder-Plattformen, ohne sich der Kritik des Lobbyismus auszusetzen. Ähnliche Überlegungen werden für Normierungs- und Standardisierungsgremien anzustellen sein. Bemüht werden könnten neue Formen der Meta-Governance, bei der öffentliche Akteure gezielt Dynamiken freisetzen, diese aber auch koordinieren und anleitend steuern, damit sich eine “network response to network threats” ergibt. Verschiedene Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Agenturen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) spielen hier eine entscheidende Rolle.

In ihrer konkreten Ausgestaltung wird es auch bei den Meldepflichten Probleme geben. Die rechtlichen Vorhaben sehen vor, dass die Betreiber kritischer Infrastrukturen Sicherheitsvorfälle an die zuständige Behörde melden. Solche Meldepflichten sind als Instrument gegen die epistemische Unsicherheit gedacht und sollen den öffentlichen Akteuren ein objektiviertes Lagebild  vermitteln, um die Indikatoren und Risiken einer Interpretation zugänglich zu machen. Die Frage ist, ab wann und welche Informationen übermittelt werden müssen. Hier wird ein rechtlicher Maßstab für die Erheblichkeitsschwelle zu definieren sein. Insgesamt sind die Bedenken des europäischen und der deutschen Datenschützer in den weiteren Ausarbeitungen zu berücksichtigen. Der Ansatz, gewisse Meldungen über Sicherheitsvorfälle transparent der Öffentlichkeit zugänglich zu machen, scheint nicht unfruchtbar zu sein.

Sicher ist, dass das Thema auf privatrechtlicher Ebene in den Compliance-Agenden der Unternehmen eine erhebliche Aufwertung erfahren wird.  Der Maßstab für die Haftung der Unternehmen für Sicherheitsvorfälle wird durch die Neuregelungen spezifiziert. Die hat Auswirkungen auf die vertragliche Praxis und den Versicherungsschutz.

Die Probleme im Bereich der Sicherheit kritischer Informationsinfrastrukturen sind zahlreich. Lösungsansätze sind auf rechtlicher, politischer und technischer Ebene zu suchen. Ganz allgemein geht es aus juristischer Perspektive um die Abwägung der Rechtsgüter der betreffenden Akteure und nicht zuletzt um das Verhältnis von Recht und Technik.

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institutes für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Artikel und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.

Hannfried Leisterer, Dr.

Former associate doctoral Researcher: Global Constitutionalism and the Internet

Auf dem Laufenden bleiben

HIIG-Newsletter-Header

Jetzt anmelden und  die neuesten Blogartikel einmal im Monat per Newsletter erhalten.

Aktuelle HIIG-Aktivitäten entdecken

Forschungsthemen im Fokus

Das HIIG beschäftigt sich mit spannenden Themen. Erfahren Sie mehr über unsere interdisziplinäre Pionierarbeit im öffentlichen Diskurs.