Regulierung Risiken Informationstechnik BSIG IT-Sicherheit Unsicherheit

Julian Zaudig

Zaudig, Julian: Die Regulierung von Risiken durch den Einsatz von Informationstechnik nach dem BSIG. 1. Auflage, Nomos Verlagsgesellschaft, Baden Baden 2024; (319 S., 99 €); ISBN 978-3-7560-1612-9

Die Dissertation von Julian Zaudig hat nach eigenem Bekunden den Anspruch aufzuzeigen, dass die Regulierung von IT-Sicherheit von einem hohem Maß von Unsicherheit geprägt ist. Um diesen Anspruch herauszuarbeiten, beginnt er in seiner Einleitung mit der Darstellung der wirtschaftlichen Bedeutung der IT-Sicherheit und der Standards für die Managementsysteme in der IT. Er geht auf die Regelungen der NIS-Richtlinie und der Anforderungen gemäß dieser Richtlinie ein und behandelt anschließend die nationale Regelung in Deutschland.

In der Betrachtung des Risikobegriffes differenziert der Autor zwischen den betrieblichen und den volkswirtschaftlichen Risiken. Er vertritt die Auffassung, das auch das klassische IT-Risiko aus Betriebsleitersicht ein betriebliches darstellt (wie z.B. Währungsrisiken, Zahlungsausfallrisiken), während den IT-Risiken aus volkswirtschaftlicher Perspektive von staatlicher Seite zu begegnen ist und letztendlich auch ein europaweit einheitliches Vorgehen verlangt.

Die hohe Zahl von Angriffen und deren Variationen machen einen klaren Überblick über die Risiken schlichtweg undenkbar. Der Autor wirft daher die Frage auf, wie die Bestimmt einer Norm zu messen sei und zitiert das Bundesverfassungsgericht mit dessen Auffassung, dass die gerichtliche Kontrolle eines Gesetzes den Mangel an Unbestimmt nicht ausgleichen kann. Somit legt die Rechtspraxis die Bestimmtheit einer Norm fest. Zaudig zeigt anhand vier beispielhafter Urteile auf, dass Gerichte durchaus unterschiedliche Ansichten hinsichtlich erforderlicher Maßnahmen im Risikomanagement vertreten. Er stellt demzufolge fest: Die positiv „richtige“ Betriebsorganisation ist undefinierbar. Das wiederum führt in Organisationen an vielen Stellen zu einer Abkehr von fix verankerten IT-Richtlinien hin zu einem IT-Management schneller und flexibler Anpassungserfordernissen. Als ein Beispiel hierfür benennt er den bereits aus anderen Fachbereichen bekannten PDCA-Kreislauf.

Sein Werk schließt mit wesentlichen Thesen über die Regulierung von IT-Risiken und hebt dort auch die noch offenen Fragen heraus, mit dem Fokus, Wege zu finden, die Sicherheit gewährleisten ohne Innovationen zu hemmen. Insgesamt ist diese Dissertation trotz akademischem Anspruch aufgrund der klaren Sprache auch für eine nicht-akademische Leserschaft, die sich mit Risiken im IT-Bereich beschäftigen muss, eine wichtige Lektüre.