IT-Sicherheit zwischen Verständnis und Vertrag

Meine Bilanz nach über 100 Veranstaltungen zum Thema IT-Sicherheit: Alle Beteiligten, Täter, potentielle Opfer und IT-Sicherheitsanbieter, haben zu wenig Verständnis für einander. Der Dienstleister liebt den Täter, denn ohne ihn hätte er kein Businessmodell. Der potentiell Bedrohte schätzt zwar den Täter, den er nicht kennt, hat aber wenig Verständnis für den IT-Sicherheitsdienstleister, der ihm Schutz anbieten möchte.
Wie lässt sich dieses seltsame Beziehungsdreieck erklären? Projekte im Bereich IT-Sicherheit unterscheiden sich aus der Sicht der Auftraggeber deutlich von anderen IT-Projekten: Wenn er normalerweise in IT-Projekte investiert, dann sollten sich dadurch die Prozesse im Unternehmen oder deren Ergebnis verbessern. Das trifft für Investments in IT-Sicherheit nicht zu. Im Gegenteil, die Investition in IT-Sicherheit verursacht beim Sicherheitsbedürftigen zunächst ein unangenehmes Magengefühl.

Dies liegt daran, dass niemand zugeben möchte, unsicher zu sein, und niemand ernsthaft Geld für etwas ausgibt, was er gerne a priori als zugesicherte Selbstverständlichkeit hält – Systemsicherheit. Die Notwendigkeit, in IT-Sicherheit zu investieren, ist also nicht unternehmens- sondern fremdgetrieben. Das macht die ganze Sache so unangenehm.

Besonders für die Unternehmensleitung ist heute die Gewährleistung von IT-Sicherheit eine komplexe Herausforderung. Aus deren Sicht setzen sich die wesentlichen Elemente einer sicheren IT-Infrastruktur aus Technik, Organisation und Recht zusammen. Wo aber passt in dieser Anordnung das Thema Dienstleistung in Sachen Sicherheit?

Das Verhältnis zwischen dem IT-Dienstleister, der Sicherheit anbietet, und dem, der Sicherheit fordert, ist nicht abschließend geklärt. Den Parteien fehlt noch das Verständnis für einander. Hier mag ein Vergleich angebracht sein. Ein Mensch, der sich bedroht fühlt, hat mehrere Möglichkeiten, darauf zu reagieren. Er könnte beschließen, das Haus nicht mehr zu verlassen, sich darin verbarrikadieren, oder aber einen Bodyguard engagieren. Nehmen wir die letzte Variante. Ein Bodyguard wirkt nur, wenn er sichtbar ist. Er muss abschrecken. Das heißt auch, IT-Sicherheit muss sichtbar sein und abschrecken. 

Der Bodyguard wirkt auch nur, wenn er die Nähe zum Bedrohten sucht und umgekehrt. Der Bedrohte, der sich von seinem Bodyguard entfernt, begibt sich ebenfalls in Gefahr. Das heißt, in Bezug auf IT-Sicherheit, wer als Dienstleister in Sachen IT-Security seinen Kunden nur einmal im Jahr besucht, vernachlässigt seine Pflicht ebenso wie derjenige Anwender, der keine Patches lädt und den Security-Dienstleister nicht über Änderungen in seiner Infrastruktur unterrichtet.

IT-Sicherheit ist somit ein Thema, das auf der bedrohten Seite ein Verständnis für die Gefahren und die notwendigen Schutzmaßnahmen erfordert und auf der Seite des Bodyguards ein Verständnis für die Situation des Bedrohten. Doch hier fehlt noch viel an gegenseitigem Verständnis.

Wenn sich nun zwei Parteien gefunden haben, die glauben, es mit dem gemeinsamen Verständnis einmal versuchen zu wollen, scheitert ein Weiterkommen vielfach an einer geeigneten vertraglichen Grundlage. Die bisherigen IT-Dienstleistungsverträge sind für den Bereich der IT-Sicherheit in vielen Fällen nicht geeignet.

Konventionelle IT-Dienstleistungen laufen nach einem gut bekannten Muster ab: Ein Dienstleister verkauft einem Kunden eine Installation aus Hardware und Software. Nach 14 Tagen funktioniert die Sache noch nicht oder nicht mehr. Jetzt weiß der Kunde und auch der Dienstleister, was die gegenseitigen Rechte sind: Nachbesserung, Rückgabe eventuell Schadensersatz.

Bei Security-Dienstleistungen ist dieses Muster nicht ohne weiteres anwendbar. Beispiel: Der Kunde kauft IT-Sicherheitsdienstleistungen. Nach 14 Tagen stellt sich heraus, dass die IT immer noch nicht so sicher ist, dass sie nicht zusammenbrechen könnte. Nehmen wir hier nur den Fall eines neuen Wurms oder Virus. Wer haftet? Der Dienstleister? Wer glaubt, das könne nicht sein, mag sich seine Vertragsbedingungen ansehen. Man wird vermutlich zum Thema IT-Sicherheit und Haftung nichts finden.

Hier besteht dringender Handlungsbedarf. Eine faire Regelung sieht so aus wie im Ausgangsbeispiel mit dem Bodyguard. Wer sich entfernt, haftet und wer einen schlechten Job macht, haftet auch. Ein Restrisiko wird beim Bedrohten bleiben. Wie hoch dieses Restrisiko ist, wird im Wesentlichen von der Auswahl des IT-Sicherheitsberaters und dem verfügbaren Budget für Sicherheit abhängen.