Beinahe täglich vermeldet die Presse neue Hiobs-Botschaften. Listen mit über 700 Millionen E-Mail-Adressen samt Passwörtern werden im Darknet für weniger als 40 Euro zum Kauf angeboten. Ein 20-jähriger Schüler mit mutmaßlich rechtsgerichteter Gesinnung sammelt und veröffentlicht massenhaft Daten  von Politik und Prominenz in einem „Online-Adventskalender“ (sog. Doxing). Und nahezu jeder kann davon ausgehen, dass seine vertraulichen Daten früher oder später kompromittiert werden. Sei es, weil er Playstation spielt, Flüge bucht oder in Hotels übernachtet.
Die Reaktionen auf solche Vorfälle sind meist dieselben:
- IT-Sicherheitsforscher sind wenig überrascht und fordern die Bürger und Unternehmen zu mehr Selbstschutz auf.
- Die Bürger und Unternehmen wiederum sehen den Staat in der Pflicht.
- Politiker kritisieren die Arbeit von Behörden und fordern neue Gesetze. Dies ist kostengünstig und bringt Wählerstimmen.
Doch ist dies aktuell sinnvoll? Und wo besteht Verbesserungspotential?
Bessere und schnellere Durchsetzung statt neuer Straftatbestände
Alle wesentlichen schädlichen Handlungen im Bereich der IT-Sicherheit stehen bereits unter Strafe. Sei es die Datenveränderung und Computersabotage (§§ 303a, 303b StGB), das Ausspähen und Abfangen von Daten (§§ 202a, 202b, 202c StGB), die Datenhehlerei (§ 202d StGB) oder der Computerbetrug (§ 263 a StGB). Hier braucht es keine neuen Regelungen. Allenfalls lässt sich diskutieren, ob der Strafrahmen von maximal drei Jahren für einige der genannten Delikte etwas erweitert werden sollte. Doch selbst wenn man hierfür ein Bedürfnis sehen möchte – geht hiervon wirklich eine messbare Präventivwirkung aus?
Weitaus sinnvoller dürfte es sein, die bestehenden Gesetze auch wirksam durchzusetzen. Gerade im Bereich der IT-Kriminalität besteht ein Vollzugsdefizit.
Immerhin: Der jugendliche Kopf hinter dem Online-Adventskalender war schnell ermittelt. Dieser war bereits wegen ähnlicher Delikte angeklagt – ohne bislang verurteilt worden zu sein.
Neben einer Erhöhung entsprechender Ressourcen und Fachkenntnisse bei den Strafverfolgungsbehörden muss daher auch die Justiz gestärkt werden. Schnelle und effiziente Verurteilungen dürften insgesamt wichtiger sein als eine Erhöhung der Maximalstrafe.
IT-Sicherheitsgesetz 2.0: Mehr Pflichten für Unternehmen?
Derzeit arbeitet das Bundesministerium des Innern (BMI) an einem IT-Sicherheitsgesetz 2.0. Der Vorläufer aus dem Jahr 2015 hatte vornehmlich die sog. Kritischen Infrastrukturen einschließlich bestimmter Online-Dienste im Blick. Nun sollen eventuell weitere Privatunternehmen, etwa Automobilhersteller oder andere wirtschaftlich bedeutende Unternehmungen einer strengeren Regulierung unterliegen.
Diese könnte etwa die Pflicht zum Nachweis von IT-Sicherheitsmaßnahmen, Meldepflichten bei Sicherheitsvorfällen gegenüber Behörden oder sogar Weisungsrechte des BSI im Bedarfsfall mit sich bringen.
Aktuell kein Bedarf für staatliche Regulierung:
Fraglich ist jedoch, ob für die Ausweitung solch einer staatlichen Regulierung Bedarf besteht. Schließlich besteht mit Art. 32 DSGVO schon eine umfassende Pflicht zu Gewährleistung von Datensicherheit, die Wirkung über den Schutz personenbezogener Daten hinaus entfaltet. Und es liegt auch im eigenen Interesse jedes Unternehmens, seine eigene IT-Sicherheit zu gewährleisten.
Der Anreiz hierzu dürfte – insbesondere mit Blick auf große Unternehmen und die Schäden, die aus IT-Sicherheitsvorfällen drohen – bereits groß genug sein. Hinzu kommt, dass eine verstärkte staatliche Kontrolle zu entsprechenden Mehraufwänden führt, die an anderer Stelle besser investiert wären.
 Was können Politik und Unternehmen tun?
Politik: Aus Sicht des Staates sollte vor allem der Informationsaustausch zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI), den Nachrichtendiensten und den Strafverfolgungsbehörden verbessert werden. Aber auch die Verbesserung der internationalen Kooperation ist wichtig – schließlich gehen die größten Gefahren in aller Regel nicht von einem in Deutschland sitzenden Schüler aus. Sinnvoll sind auch verbindliche Regelungen zur Weitergabe von brisantem Sicherheitswissen von Nachrichtendienste an Privatunternehmen.
Unternehmen sollten weiter in ihre IT-Sicherheit investieren und sich auf ihren eigenen „Worst-Case“ vorbereiten. Zudem sollten sie überprüfen, ob und welche Risiken sich vertraglich verlagern oder sinnvoll versichern lassen (hilfreich hierzu die zahlreichen Checklisten im Praxisleitfaden von Voigt, IT-Sicherheitsrecht, 2018, zu Pflichten und Haftung im Unternehmen).
Mitarbeiter: Von zentraler Bedeutung ist auch, die eigenen Mitarbeiter kontinuierlich zu schulen. Diese sind nach wie vor eine der Hauptbedrohungen und Türöffner für Angreifer. Mitarbeiter überweisen nicht nur Geld an Angreifer, die sich als Vorgesetzte ausgeben (sog. CEO-Fraud). Sie öffnen auch E-Mails mit Schadsoftware, veröffentlichen vertrauliche Daten oder machen es Angreifern auf andere Weise leicht. Unachtsames Handeln und geringer technischer Sachverstand dürften auch dem Autor des Online-Adventskalenders in die Hände gespielt haben. So schädlich seine Veröffentlichungen für die Betroffenen auch waren – es hat vielen geholfen, die Bedrohungslage etwas besser zu erkennen.