Wege aus dem Dilemma
Die Varianten für Lösungswege sind, wenn man den Kopf nicht in den Sand stecken will, begrenzt. Bei einigen Unternehmen, auch größeren Unternehmen, drängt sich der Eindruck auf, dass durch bloße Nichtbeachtung der gesetzlichen Regelungen oder einer gewissen Ignoranz das Bedrohungsszenario sich nicht verwirklicht. Anhand eines Beispiels, das ein Sachverständiger im Rahmen der Anhörung zum Gesetzgebungsvorhaben brachte, wird allerdings schnell deutlich, wie trügerisch diese Hoffnung ist. Ein Sachverständiger verwies beispielsweise darauf, dass konkurrierende Unternehmen, die in einem harten Wettbewerb stehen, durchaus nach Erteilung eines Auftrages an den Konkurrenten, bei einem Unternehmen umfangreiche Prüfungen der IT-Sicherheit vorzunehmen, dem Gedanken an eine Strafanzeige näher treten könnte. So ließe sich ein entsprechender Mitbewerber durchaus PR-wirksam schädigen. Da die Prüfung der IT-Infrastruktur durch externe IT-Dienstleister insbesondere eine gute Vertrauensbasis erfordert, wären solche Maßnahmen, wie eine Strafanzeige gegen den Mitbewerber, in erheblichem Maße geschäftsschädigend. Im zunehmend harten Wettbewerb erscheint es nicht ausgeschlossen, dass solche Maßnahmen ergriffen werden. Die Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie zeigt (siehe Artikel "Hackerparagraph: Reale Bedrohung oder Luftnummer?"), dass von den strafrechtlichen Möglichkeiten durchaus Gebrauch gemacht wird. Die Variante, zunächst nur abzuwarten, erscheint daher nicht die richtige Lösungsstrategie zu sein.
Derzeit wird insbesondere bei größeren Unternehmen diskutiert, durch anerkannte Strafrechtler eine Begutachtung der Rechtslage vornehmen zu lassen. Solche Gutachtenaufträge sind von der Hoffnung getragen, dass Strafrechtler dann auf die Gesetzesbegründung verweisen und argumentieren werden, dass entsprechende strafrechtliche Bedrohungen nicht bestehen. Wenn dann dennoch eine Strafverfolgung stattfindet, könnte auf Ebene der Schuldfrage zweifelhaft sein, ob solche Unternehmen strafrechtlich verfolgt werden können. Auch dies ist ein eher defensiver Umgang mit diesem brisanten Thema. Die tägliche Lektüre der einschlägigen Fachpresse zeigt, dass Maßnahmen zur IT-Sicherheit dringend erforderlich sind und daher ist das Prinzip Hoffnung, das letzten Endes Basis auch für die Erstellung der Gutachten ist, nicht ausreichend.