Der Streit über das IT-Sicherheitsgesetz hat es deutlich gemacht: Wir brauchen Normen, also Meldepflichten, Vorschriften und Gesetze, damit die Sicherheit informationstechnischer Systeme auch durchgesetzt werden kann. Aber häufig greifen diese Normen zu kurz. So wird beim IT-Sicherheitsgesetz bemängelt, dass die Meldepflicht von sicherheitskritischen Vorfällen nicht weitreichend genug sei. Und es wird eine Meldepflicht auch für Sicherheitslücken gefordert, weil die in aller Regel die Grundlage eines Cyberangriffs sind, ihn also erst möglich machen. Werden diese Sicherheitslücken schnell geschlossen, kann es auch keine erfolgreichen Cyberangriffe geben. Und auch die Meldepflicht für Sicherheitsvorfälle sogenannter kritischer Infrastrukturen wurde in Bad Godesberg kritisiert.

Konkret geht es um die Vorschrift, welche Betriebe überhaupt melden müssen. Der Präsident des IT-Branchenverbandes Bitkom, Professor Dieter Kempf, findet die bisherige Gesetzesdefinition unzureichend.

"Ich glaube, wir brauchen mehrere Dimensionen. Wir brauchen sicherlich an der einen oder anderen Stelle die Dimension Größe, an der anderen Stelle aber auch die Dimension Versorgungssicherheit. Das wird zum Beispiel eine Elektrizitätswirtschaft sein. Wir brauchen aber auch die Dimension Gefährdungspotenzial. Und da ist zum Beispiel Wasserversorgung mit dabei, unabhängig von der Größe des einzelnen Unternehmens."

Schiere Größe kann also kein Kriterium sein. Aber Größe sorgt immer für Unübersichtlichkeit. Das ist auch bei informationstechnischen Systemen so. Deshalb werden sie oft nicht als Ganzes auf sicherheitskritische Momente untersucht, sondern immer nur als Teilsystem. Darin sieht der Präsident der Gesellschaft für Informatik, Professor Peter Liggesmeyer, eine erhebliche Schwierigkeit.

"Das Problem ist, dass es kaum wirklich übergreifende Methoden gibt, die die Systeme als Ganzes adressieren. Das heißt jede Disziplin, sei es Maschinenbau, Elektrotechnik oder Informatik, verwendet naturgemäß ihre eigenen Methodiken, die dann aber oft Beziehungen zwischen den unterschiedlichen Systemteilen nicht zu Tage fördern. Und daraus resultieren dann, wenn es um Sicherheit geht, Gefahren, weil bestimmte Abhängigkeiten eben bei der Entwicklung unbeachtet geblieben sind."

Deshalb haben Liggesmeyer und andere Informatiker und Experten für eine Neuorientierung in der gesamten Sicherheitsdiskussion auf dem Bad Godesberger Kongress plädiert. IT-Sicherheit konzentriert sich im Augenblick zu stark auf die Zugriffskontrolle und -sicherheit. Die dahinter liegende Vorstellung lautet: Machen wir es den Angreifern so schwer wie möglich, auf ein System zuzugreifen, können sie wenig Schaden anrichten. Doch dieser Glaubenssatz gilt nicht mehr in der vernetzten Welt. Deshalb muss die Zugriffskontrolle um eine Kontrolle der Prozesse informationstechnischer System und um eine Nutzungskontrolle der Daten erweitert werden, meint Peter Liggesmeyer:

"Das ist im Grunde genommen ein Stück Middleware. Man könnte sagen, das hat gewisse Ähnlichkeiten mit Teilen eines Betriebssystems, aber in verteilter Form, weil natürlich auch die Kontrolle in verteilter Form erfolgen muss. Ansonsten muss es sich natürlich sehr weit in das System hineinklinken, um nicht ohne weiteres ausgehebelt werden zu können."

Bei der Entwicklung solcher neuen Sicherheitssysteme für die Informationstechnik stehen wir noch ganz am Anfang. Hier muss noch viel Grundlagenforschung geleistet werden. Doch bevor das möglich wird, muss die Wichtigkeit und Dringlichkeit dieses neuen Sicherheitsansatzes in der Forschungspolitik wie in der Sicherheitspolitik erkannt werden.