IT-Sicherheit

IT-Sicherheitsgesetz für Unternehmen

Die zunehmende Vernetzung kritischer Infrastrukturen erhöht massiv das Risiko von Sicherheitsvorfällen. Die Politik hat reagiert und ein deutsches IT-Sicherheitsgesetz auf den Weg gebracht. Unternehmen sollten sich - allein schon aus eigenem Interesse - intensiv damit auseinandersetzen. (Autor: mod IT Services)

IT-Sicherheitsgesetz für Unternehmen

© Guido Vrola - Fotolia.com

IT-Sicherheitsgesetz für Unternehmen

Eine Windkraftanlage, die sich nicht abschaltet und das Stromnetz überlastet, eine Heizungsanlage im Gefängnis, die die Raumtemperatur erhöht, intelligente Stromzähler, die ausfallen und zu Netzinstabilitäten oder sogar Blackouts führen: Industriesteueranlagen, die über das Internet vernetzt sind, bergen ein erhebliches Sicherheitsrisiko.

Kritische Infrastrukturen

  • Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei Ausfall oder Beeinträchtigung würden Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten.
  • nähere Informationen unter www.kritis.bund.de

Als Teil der kritischen Infrastrukturen, die für das Funktionieren der Gesellschaft in wirtschaftlicher, sozialer und nicht zuletzt politischer Hinsicht notwendig sind, sind sie äußerst verwundbar: Einerseits erhöht die zunehmende Vernetzung der industriellen und technischen Produktion die Reichweite von Schäden, die durch menschliche Fehler oder Hardware-Defekte ausgelöst werden.

Andererseits nehmen die Angriffe auf die technische Steuerung von Industrie- und Unternehmensinfrastrukturen zu. Die Bestandsaufnahme der EU-Kommission zur inneren Sicherheit im Frühjahr warnt vor diesen Angriffen: Cyberkriminalität ist neben Terrorismus und Katastrophenbewältigung eine der zentralen Herausforderungen für die E-Wirtschaft und die Zivilbevölkerung im europäischen Raum.

Neue Compliance-Vorschriften für Unternehmen

Das deutsche Innenministerium reagiert jetzt mit dem Entwurf zu einem neuen IT-Sicherheitsgesetz. Damit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären damit Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Der Gesetzgebungsprozess läuft. Obwohl der legislative Prozess im Vorfeld einer Bundestagswahl traditionell ins Stocken gerät, ist die Sicherheit der bundesweit kritischen Infrastrukturen ein parteiübergreifendes Anliegen. Das bedeutet: Früher oder später werden sich Unternehmen auf gesetzlich vorgeschriebene und verschärfte Sicherheitsanforderungen einstellen müssen.

Dass das Kosten verursacht, ist den Verfassern des Gesetzentwurfs im Innenministerium bewusst. Besonders jene Unternehmen, die bis dahin kein hinreichendes Sicherheitsniveau etabliert haben, müssen mit höheren Ausgaben rechnen.

So heißt es im Entwurf: "Zusätzliche Kosten entstehen für die Betreiber kritischer Infrastrukturen durch die Durchführung der vorgegebenen Sicherheitsaudits." Mit einer frühen Vorbereitung - bevor der "Run auf die Consultants" einsetzt - können sich Unternehmen jetzt kostenschonend vorbereiten. Aber wie?

Zentrale Fragestellungen

Die alte Bundesregierung plante mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen.

Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt - ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff dazu zählt - bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Im Kern geht es für Unternehmen in Zukunft um die Etablierung eines Verfahrens, um Probleme zu begrenzen, die durch technische Störungen auftreten können. Dafür sollten die Verantwortlichen drei zentrale Fragenkomplexe klären:

  • Risikoanalyse: Welche Bereiche im Unternehmen können als kritisch gelten - sowohl für die eigene unternehmensinterne Struktur als auch für die Aufrechterhaltung der Aufgaben und Leistungen für die Gesellschaft? Wie risikobehaftet sind diese Bereiche? Was genau passiert bei Ausfällen? Gibt es Bereiche, die auch mit verminderter Kapazität arbeiten können?
  • Vorbeugende Maßnahmen und Strategien: Wie kann ich Risiken vermeiden oder mindern? Welche IT-Sicherheitsmaßnahmen sollte ich implementieren? Wie stelle ich die regelmäßige Überprüfung der Maßnahmen sicher?
  • Krisenmanagement: Gibt es einen Krisenplan? Gibt es einen internen Krisenstab? An wen müssen die einzelnen Abteilungen eskalieren?

Der ersten Risikoanalyse muss eine Identifikation der möglichen Schwachstellen und gefährdeten Schnittstellen folgen. Mit einem automatisierten Schwachstellen-Scanning und -Management wappnen sich Unternehmen präventiv gegen Angriffe. Sie liefern eine komplette Übersicht über die Gefährdungspotenziale im Unternehmen und in der Software.

Als europäischer Anbieter und Mitglied in der vom BSI ins Leben gerufenen Allianz für Cybersicherheit bietet zum Beispiel Greenbone mit dem Greenbone Security Manager eine einzige Software, die vom BSI in deutschen Behörden zugelassen ist. Zu jedem einzelnen System werden detaillierte Informationen zu gefundenen Schwachstellen und zum Schließen der Lücken übersichtlich dargestellt.

Die grundsätzliche Analyse und die Identifikation der möglichen Schwachstellen in den IT-Systemen ergänzen die in der BSI-Norm 100-4 zum Notfallmanagement festgehaltenen Anforderungen. Die Norm gilt als Leitfaden für belastbare Sicherheitsvorkehrungen und fasst die Mindestanforderungen zusammen.

Sowohl nach dieser Norm als auch den internationalen ISO-2700x-Normen müssen Ansprechpartner mit Rollen und Funktionen innerhalb und außerhalb des Unternehmens bekannt, informiert und vorbereitet sein, wenn es zu einem Ernstfall kommt.

Fazit

Viele Firmen sind sich der Bedeutung der IT und der Abhängigkeit des Unternehmens und der Gesellschaft von der IT nicht bewusst. Sie vernachlässigen daher das Risiko- und Krisenmanagement in diesem Bereich. Keine Firma verzichtet darauf, Schlösser in die Türen einzubauen. In der IT stehen die Türen jedoch häufig sperrangelweit offen. Ob es eines Gesetzes bedarf, dieses zu erkennen, darüber lässt sich streiten. Dass Unternehmen ein dezidiertes Schwachstellen- und Notfallmanagement betreiben sollten, ist offensichtlich.

Mehr zum Thema

Informationssicherheit oft kein Thema
IT-Sicherheitsreport

Großunternehmen ignorieren die von Wirtschaftsspionen und Hackern ausgehenden Gefahren. Häufig fehlt ein durchgängiges Konzept für die…
Was Sie bei Compliance beachten müssen
Sicherheitsreport

Ob Unternehmen wirklich sicherer werden durch teure Compliance- Maßnahmen, ist zweifelhaft.
Die Zehn Gebote in der Kommunikation
IT-Sicherheit

Der "Bring Your Own Device"- Ansatz (BYOD) stellt IT-Abteilungen vor große Herausforderungen, denn sie müssen eine sichere Anbindung ins…
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit

Nur mehrschichtige Verteidigungsstrategie bewahren Unternehmen vor riskanten und teuren Distributed-Denial-of-Service-Angriffen.
Datenspeicher in der Cloud
Shared Storage

Cloud-Speicher eignet sich nur bedingt für Firmen - allein schon aus Sicherheitsgründen sollten Unternehmen besser auf ihre Bedürfnisse angepasste…