Bereits im letzten Quartal 2014 wurde der Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme veröffentlicht. Von Anfang an haben IT-Experten diesen natürlich genau unter die Lupe genommen und so hat beispielsweise der Arbeitskreis Vorratsdatenspeicherung sehr zeitnah die Hintertür für verdachtslose Vorratsdatenspeicherung bemängelt. Diese wurde allerdings dann auch kurz darauf wieder aus dem Entwurf gestrichen.
Grundsätzlich gibt es in diesem Entwurf die Forderungen nach einheitlichen IT-Sicherheitssystemen und einer Meldepflicht für sicherheitsrelevante Vorfälle. Allerdings ist die allgemeine Kritik an dem Entwurf sehr groß. Nachzulesen ist das in nahezu allen IT-Newsportalen, beispielsweise bei Heise. Von dort finden sich auch alle Informationen zum Entwurf und den einzelnen Kritikpunkten, daher möchte ich auf diese Punkte auch nicht weiter eingehen. Redundante Daten gibt es genügend im Internet.
Die traurige Begleiterscheinung solcher potentiell massiven Gesetzesänderungen ist, dass es immer eine große Anzahl unseriöser Trittbrettfahrer auf den Plan ruft die mit der Angst oder Falschinformation von Personen und Firmen versuchen Geld zu machen. Im Kontext des Gesetzesentwurfes schreiben derzeit verschiedene „Spezialisten“ nahezu wahllos verschiedenste Firmen an und bieten eine Sicherheitsüberprüfung und Beratung zum neuen IT-Sicherheitsgesetz an.
Da es sich bisher allerdings nur um einen Entwurf handelt und dieser auch immer noch heiß diskutiert wird ist es noch nicht nötig in wilden Aktionismus zu verfallen und Geld für Sicherheitsüberprüfungen raus zu werfen zu denen gar nicht bekannt ist was letztendlich per Gesetz gefordert sein wird.
Damit ist natürlich nicht gemeint, dass Firmen und auch Privatpersonen sich keine Gedanken über IT-Sicherheit machen sollten, heutzutage ist das nötiger denn je. Statt dessen sollte man sein gesundes Misstrauen auch ein wenig in die nicht-digitale Welt erweitern und gründlich lesen was man per Brief vorgeschlagen bekommt. Den ersten Misstrauenspunkt gibt es für das unaufgeforderte Anschreiben: Woher hat der Absender die Daten? Woher kennt er mich/meine Firma? Was weis der Absender über die eingesetzte IT-Infrastruktur oder den eigenen Server? Welche Qualifikationen hat der Absender? Einen weiteren Punkt gibt es für inhaltliche Fehler oder Rechtschreibfehler: Eines der Schreiben hatte vollkommen falsche Datumsangaben zum Gesetzesentwurf. Gleich mehrere Punkt gibt es für das unaufgeforderte anbieten von Dienstleistungen, meist zu unglaublich günstigen Preisen: Ohne zu wissen was für eine Umgebung oder Hardware getestet werden soll ein Angebot für eine Sicherheitsprüfung abzugeben ist mehr als Fragwürdig.
Sollte bei Ihnen oder Bekannten also in der letzten Zeit ein solcher Brief eingegangen sein rate ich zu Vorsicht. Noch ist das Gesetz nur ein Entwurf und die tatsächlich geforderten IT-Sicherheitsstandards noch schwammig formuliert, es gibt also noch keine reelle Grundlage die überprüft werden kann. Hat man dennoch Bedenken, lieber bei einem bereits bekannten Dienstleister anfragen oder einen auf diesen Bereich spezialisierten Anwalt konsultieren!