BSI thematisiert verteilte Verantwortung für IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) beschäftigt sich neben technischen Aspekten der IT-Sicherheit aktuell auch mit der Verteilung der Verantwortung für einen sicheren IT-Einsatz im professionellen Umfeld.

Hintergrund: Die gegenwärtige Rechtslage umfasst lediglich vereinzelte Sicherheitspflichten und eine Vielzahl von Einzelgesetzen.Hintergrund: Meldungen über neu entdeckte Sicherheitslücken in Softwareprogrammen und neue Varianten von Schadprogrammen werfen die Frage auf, inwieweit Pflichten, Verantwortlichkeiten und Haftungsfragen im geltenden Recht Anreize schaffen können, seitens IT-Herstellern, IT-Dienstleistern und Nutzern geeignete Maßnahmen zur Vermeidung von IT-Risiken zu entwickeln bzw. einzusetzen.

Prof. Dr. Gerald Spindler, Inhaber des Lehrstuhls für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Multimedia- und Telekommunikationsrecht an der Universität Göttingen, fertigte dazu im Jahr 2007 ein Gutachten für das BSI an. Die Ergebnisse des Gutachtens stellte Horst Samsel, Leiter der Abteilung Zentrale Aufgaben des BSI, zum Abschluss des diesjährigen Frühjahrsfachgesprächs der German Unix User Group e. V. (www.guug.de/ffg) am 14.03.08 München vor.
Kernpunkt: Die Rechtssicherheit könnte u. a. durch die Schaffung eines IT-Sicherheitshaftungsgesetzes erhöht werden, welches Nutzer von IT-Sicherheitssoftware, IT-Managementsystemen und IT-Dienstleistungen vor Vermögensschäden durch fehlerhafte Software und unsachgemäße Dienstleistungen schützt. Durch die Einführung einheitlicher und allgemein gültiger Sicherheitsanforderungen könnten kommerzielle Betreiber von IT-Anlagen in die Pflicht genommen werden.
Die Anforderungen an Software und Services könnten durch Normen sowie untergesetzliche Standards geregelt und durch IT-Zertifikate nachgewiesen werden. Die Einhaltung der Sicherheitsanforderungen solle grundsätzlich freiwillig sein. Anbieter und Dienstleister, die sich an die Sicherheitsanforderungen halten, könnten jedoch per Gesetz von der Beweislast befreit werden.

Produzenten, Anbieter und Dienstleister, die sich nicht an allgemein gültige Sicherheitsanforderungen halten, sollen im Gegenzug das Haftungsrisiko tragen. Diese "Vermutungswirkung" könne auch zivilrechtliche Folgen beinhalten, so die Studie. Bislang werden Schäden auf Grund fehlender Verantwortung für IT-Risiken vor allem auf Anwender abgewälzt. Durch ein IT-Sicherheitshaftungsgesetz könnten Anreize geschaffen werden, Maßnahmen auf Hersteller- bzw. Anbieterseite einzuführen, da sie die Sicherheit von IT-Produkten und -Dienstleistungen besonders wirtschaftlich beherrschen können (cheapest cost avoider).
Neben den Anbietern sollen die Anwender ermutigt werden, Schutzvorkehrungen gemäß allgemeiner Sicherheitsstandards einzuführen, um im Schadensfall nicht selbst haften zu müssen.

Über das Bundesamt in der Informationstechnik
Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes. Im Mittelpunkt der 1991 gegründeten Einrichtung stehen die drei Themen Prävention, Reaktion und Nachhaltigkeit im Kontakt IT-Sicherheit. Das Bundesamt berät und betreut die Bundesverwaltung, kooperiert mit Wirtschaft und Wissenschaft und informiert die Bundesbürger in Fragen der sicheren Nutzung von Informationstechnologien.
Zu den Leistungen der ca. 500 Mitarbeiter umfassenden Behörde zählen u. a. die Bereitstellung von Verschlüsselungsprodukten für den Bund und die Prüfung und Zertifizierung von IT-Produkten.
Weitere Informationen im Internet unter www.bsi.bund.de

Über das GUUG-Frühjahrsfachgespräch
Das Frühjahrsfachgespräch (FFG) der German Unix User Group (GUUG) e. V. ist die jährliche Veranstaltung für Profis im Bereich Unix, Netze und IT-Sicherheit. Gleichzeitig ist es der "Hauskongress" der German Unix User Group, bei dem sich zahlreiche Mitglieder treffen. Hochrangige Referenten aus dem deutschsprachigen Raum berichten über Neuigkeiten aus der Informationstechnologie sowie über Ihre Projekte und geben in Tutorien Ihre Erfahrungen an ein technisch interessiertes Publikum weiter. Alle Informationen im Internet unter http://www.guug.de/ffg