Sicher gut gemeint

Die Pläne der Bundesregierung für ein IT-Sicherheitsgesetz könnte man wohlwollend mit „was lange währt, wird endlich gut“ bezeichnen – wüsste man denn, wann der Zeitpunkt „endlich“ tatsächlich erreicht sein wird. Ein solches Gesetz hätte man vor knapp zwanzig Jahren in Angriff nehmen können und sollen, dann wären nun nur noch Anpassungen nötig.

So aber lesen wir von einem Sammelsurium von Maßnahmen, die teils unwirksam sind, teils hinterherhinken, zumeist Dritte belasten und teils Wunschdenken sind, weil die Finanzierung nicht mitgedacht wird. Damit soll also Deutschland „Weltmeister der IT-Sicherheit“ werden? Fragen an die drei (!) zuständigen Ministerien ergeben dann etwa Antworten wie diese: Eine Förderung von Startup-Unternehmen in diesem Bereich sei nicht Aufgabe des Staates, man solle doch mal nach Amerika schauen, wo dies private Risikokapitalgeber erledigten. Das ist fein beobachtet.

In den USA allerdings gibt es entsprechende Steuervorteile und Schutzvorschriften für kleine Ideenschmieden, das lässt Minister Gabriel unter den Tisch fallen, ebenso die rigiden Vorschriften in manchen Zukunftstechnologien – Anforderungen an Jungunternehmer, die viel Geld kosten und bei ungewissem Erfolg eher nicht an „Risiko“, mehr dagegen an Russisches Roulette erinnern. Die deutsche Industrie zeigt sich dennoch recht milde, denn immerhin durfte nun die Wirtschaft auch mitreden. Und zum Beispiel darauf hinweisen, dass eine Meldepflicht für Einbrüche in das IT-System eines Unternehmens einen gigantischen Rufschaden bedeuten könne, der womöglich nicht im Verhältnis zum angerichteten Sach-Schaden steht.

Völlig richtig ist natürlich der Ansatz, besondere Sicherheitsvorkehrungen von Firmen zu verlangen, die kritische Infrastrukturen als Geschäftsgebiet haben, sei es Wasserversorgung, Strom, Netzwerke und dergleichen. Ob der Staat und seine Behörden da auch mithalten können? Jedenfalls bedeutet eine moderne und sichere Netz-Infrastruktur für die deutsche Wirtschaft einen Wettbewerbsvorteil: Es dürfte als ausgemacht gelten, dass börsennotierte Unternehmen von Investoren längst auf solche Schwächen hin abgeklopft werden. Hackerangriffe, Passwortdiebstahl oder schlichte Sabotage können Millionenwerte vernichten; von Visa bis Google oder Facebook stehen die Opfer bereit.

Und Staaten als Täter: Der Computervirus „Stuxnet“ setzte nicht nur das iranische Atomprogramm erst einmal außer Gefecht, sondern zerstörte vermutlich durch Übersteuerung ganz handfeste Anlagen wie Zentrifugen oder Steuerungscomputer. Das hat mit Software-Attacken kaum mehr etwas zu tun, eher schon mit Drohnenangriffen. Interessanterweise drängt hierzulande die Regierung auf den Ausbau der schnellen Internetzugänge, setzt sich dabei aber maßvolle Ziele – die Niederlande etwa haben bereits heute weitgehend doppelt so schnelle Zugänge (100 Megabits/s). Das Geld für den Ausbau? Nun ja, das kommt vielleicht später mal in Form von staatlichen Erlösen aus Frequenzversteigerungen. Boomende Steuereinnahmen reichen also auch hier nicht aus, eine sinnvolle Anschubförderung aufzunehmen. Aber vielleicht ist auch das einfach sehr klug eingefädelt: Wenn nicht so viele Leute im Netz sind, fällt es auch leichter, IT-Sicherheits-Weltmeister zu werden.