Manchmal tun wir Dinge, die sinnvoll sind, erst dann, wenn wir gesetzlich dazu verpflichtet werden. Nehmen Sie zum Beispiel die Gurtpflicht. Aus heutiger Sicht ist es völlig unverständlich, warum Autofahrer vor 1976 sich nicht automatisch angeschnallt haben, bevor sie losgefahren sind. Denn damit können Menschenleben gerettet worden – was sich ja bekanntermaßen in der Praxis gezeigt hat. Aber auch die weitere Intention des Gesetzgebers „bei Unfällen volkswirtschaftliche Schäden durch Körperverletzungen und weitere Schadensereignisse abzuwenden“ ist insgesamt gut nachvollziehbar: wenn sich der Einzelne schützt, wirkt sich das auch positiv im Sinne der Gesellschaft aus. Meines Erachtens ist dies ein guter Ansatz, also verpflichtend im Sinne der Allgemeinheit etwas zu verfügen, um einen hohen Nutzen daraus für die Gemeinschaft zu erzielen – einfach überzeugend und von daher eigentlich auch gut übertragbar als plausibles Instrument in Bezug auf IT- und Cyber-Sicherheit.

Denn auch die zunehmende Zahl der – teilweise sehr ausgefeilten Angriffe – haben teilweise gravierende Auswirkungen und verursachen volkswirtschaftliche Schäden. Aber nicht nur das. Sie können auch zu unmittelbaren Konsequenzen für die Gesellschaft führen: Dies hat der Angriff auf die Tanklager von Oiltanking eindringlich aufgezeigt – mit einem Mal waren direkt völlig Unbeteiligte involviert.

Doch – im Gegensatz zu einer Verletzung der Gurtpflicht, die ja offensichtlich ist – sind Verstöße im Bereich IT-Sicherheit nicht unmittelbar evident. Das bedeutet, die Gestaltung und Durchführung effektiver Sanktionsverfahren ist wesentlich komplexer. Doch dies sollte und darf im Prinzip weder ein Hinderungsgrund sein noch ein Vorwand dafür, das eigene Unternehmen nicht ausreichend zu schützen. Zudem de facto bereits Grundlagen vorhanden sind, wie etwa der „Stand der Technik“, die bestens dazu geeignet wären ein entsprechendes Schutzniveau zu etablieren. Aber nicht nur das, es ließen sich daraus ebenso entsprechende Normen herleiten, anhand derer eine Sanktionierung erfolgen könnte.

Wünschenswert wäre natürlich, dass mittelfristig – genau wie bei der Gurtpflicht – der angemessene Einsatz von IT-Schutzmaßnahmen genauso automatisch erfolgt wie das Anschnallen im Auto.

Warum dies begrüßenswert wäre erläutert Siegfried Müller in seiner aktuellen Kolumne.

Noch eine Anmerkung zum Schluss: Unternehmen müssen jetzt tatsächlich schleunigst agieren und alle Möglichkeiten ausschöpfen, um gegen Angriffe adäquat gewappnet zu sein und ebenso um – auch im Angriffsfall – handlungsfähig bleiben zu können.