Rubrik: Markt/Hintergrund

GUUG-Frühjahrsfachgespräch '08: BSI thematisiert verteilte Verantwortung für IT-Sicherheit

Rechtssicherheit könnte durch die Schaffung eines IT-Sicherheits-haftungsgesetzes erhöht werden

(08.04.08) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich neben technischen Aspekten der IT-Sicherheit aktuell auch mit der Verteilung der Verantwortung für einen sicheren IT-Einsatz im professionellen Umfeld. Hintergrund: Die gegenwärtige Rechtslage umfasst lediglich vereinzelte Sicherheitspflichten und eine Vielzahl von Einzelgesetzen.

Anzeige

Meldungen über neu entdeckte Sicherheitslücken in Softwareprogrammen und neue Varianten von Schadprogrammen werfen die Frage auf, inwieweit Pflichten, Verantwortlichkeiten und Haftungs-fragen im geltenden Recht Anreize schaffen können, seitens IT-Herstellern, IT-Dienstleistern und Nutzern geeignete Maßnahmen zur Vermeidung von IT-Risiken zu entwickeln bzw. einzusetzen.

Prof. Dr. Gerald Spindler, Inhaber des Lehrstuhls für Bürgerliches Recht, Handels- und Wirtschafts-recht sowie Multimedia- und Telekommunikationsrecht an der Universität Göttingen, fertigte dazu im Jahr 2007 ein Gutachten für das BSI an. Die Ergebnisse des Gutachtens stellte Horst Samsel, Leiter der Abteilung Zentrale Aufgaben des BSI, zum Abschluss des diesjährigen Frühjahrsfach-gesprächs der German Unix User Group e. V. in München vor.

Kernpunkt: Die Rechtssicherheit könnte u. a. durch die Schaffung eines IT-Sicherheitshaftungs-gesetzes erhöht werden, welches Nutzer von IT-Sicherheitssoftware, IT-Managementsystemen und IT-Dienstleistungen vor Vermögensschäden durch fehlerhafte Software und unsachgemäße Dienstleistungen schützt. Durch die Einführung einheitlicher und allgemein gültiger Sicherheits-anforderungen könnten kommerzielle Betreiber von IT-Anlagen in die Pflicht genommen werden.

Die Anforderungen an Software und Services könnten durch Normen sowie untergesetzliche Standards geregelt und durch IT-Zertifikate nachgewiesen werden. Die Einhaltung der Sicherheits-anforderungen solle grundsätzlich freiwillig sein. Anbieter und Dienstleister, die sich an die Sicherheitsanforderungen halten, könnten jedoch per Gesetz von der Beweislast befreit werden.

Produzenten, Anbieter und Dienstleister, die sich nicht an allgemein gültige Sicherheitsanfor-derungen halten, sollen im Gegenzug das Haftungsrisiko tragen. Diese "Vermutungswirkung" könne auch zivilrechtliche Folgen beinhalten, so die Studie. Bislang werden Schäden auf Grund fehlender Verantwortung für IT-Risiken vor allem auf Anwender abgewälzt.

Durch ein IT-Sicherheitshaftungsgesetz könnten Anreize geschaffen werden, Maßnahmen auf Hersteller- bzw. Anbieterseite einzuführen, da sie die Sicherheit von IT-Produkten und -Dienst-leistungen besonders wirtschaftlich beherrschen können (cheapest cost avoider). Neben den Anbietern sollen die Anwender ermutigt werden, Schutzvorkehrungen gemäß allgemeiner Sicher-heitsstandards einzuführen, um im Schadensfall nicht selbst haften zu müssen.

Über das GUUG-Frühjahrsfachgespräch

Das Frühjahrsfachgespräch (FFG) der German Unix User Group (GUUG) e. V. ist die jährliche Veranstaltung für Profis im Bereich Unix, Netze und IT-Sicherheit. Gleichzeitig ist es der "Hauskongress" der German Unix User Group, bei dem sich zahlreiche Mitglieder treffen. Hochrangige Referenten aus dem deutschsprachigen Raum berichten über Neuigkeiten aus der Informationstechnologie sowie über Ihre Projekte und geben in Tutorien Ihre Erfahrungen an ein technisch interessiertes Publikum weiter. (BSI: ma)

 
 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken