IT-Sicherheit

IT-Sicherheitsgesetz für Unternehmen

16.10.2013 von Business & IT

Die zunehmende Vernetzung kritischer Infrastrukturen erhöht massiv das Risiko von Sicherheitsvorfällen. Die Politik hat reagiert und ein deutsches IT-Sicherheitsgesetz auf den Weg gebracht. Unternehmen sollten sich - allein schon aus eigenem Interesse - intensiv damit auseinandersetzen. (Autor: mod IT Services)

ca. 4:20 Min
Business-it
VG Wort Pixel
IT-Sicherheitsgesetz für Unternehmen
IT-Sicherheitsgesetz für Unternehmen
© Guido Vrola - Fotolia.com

Eine Windkraftanlage, die sich nicht abschaltet und das Stromnetz überlastet, eine Heizungsanlage im Gefängnis, die die Raumtemperatur erhöht, intelligente Stromzähler, die ausfallen und zu Netzinstabilitäten oder sogar Blackouts führen: Industriesteueranlagen, die über das Internet vernetzt sind, bergen ein erhebliches Sicherheitsrisiko.


Kritische Infrastrukturen

  • Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei Ausfall oder Beeinträchtigung würden Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten.
  • nähere Informationen unter www.kritis.bund.de

Als Teil der kritischen Infrastrukturen, die für das Funktionieren der Gesellschaft in wirtschaftlicher, sozialer und nicht zuletzt politischer Hinsicht notwendig sind, sind sie äußerst verwundbar: Einerseits erhöht die zunehmende Vernetzung der industriellen und technischen Produktion die Reichweite von Schäden, die durch menschliche Fehler oder Hardware-Defekte ausgelöst werden.

Andererseits nehmen die Angriffe auf die technische Steuerung von Industrie- und Unternehmensinfrastrukturen zu. Die Bestandsaufnahme der EU-Kommission zur inneren Sicherheit im Frühjahr warnt vor diesen Angriffen: Cyberkriminalität ist neben Terrorismus und Katastrophenbewältigung eine der zentralen Herausforderungen für die E-Wirtschaft und die Zivilbevölkerung im europäischen Raum.

Neue Compliance-Vorschriften für Unternehmen

Das deutsche Innenministerium reagiert jetzt mit dem Entwurf zu einem neuen IT-Sicherheitsgesetz. Damit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären damit Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Der Gesetzgebungsprozess läuft. Obwohl der legislative Prozess im Vorfeld einer Bundestagswahl traditionell ins Stocken gerät, ist die Sicherheit der bundesweit kritischen Infrastrukturen ein parteiübergreifendes Anliegen. Das bedeutet: Früher oder später werden sich Unternehmen auf gesetzlich vorgeschriebene und verschärfte Sicherheitsanforderungen einstellen müssen.

Dass das Kosten verursacht, ist den Verfassern des Gesetzentwurfs im Innenministerium bewusst. Besonders jene Unternehmen, die bis dahin kein hinreichendes Sicherheitsniveau etabliert haben, müssen mit höheren Ausgaben rechnen.

So heißt es im Entwurf: "Zusätzliche Kosten entstehen für die Betreiber kritischer Infrastrukturen durch die Durchführung der vorgegebenen Sicherheitsaudits." Mit einer frühen Vorbereitung - bevor der "Run auf die Consultants" einsetzt - können sich Unternehmen jetzt kostenschonend vorbereiten. Aber wie?

Zentrale Fragestellungen

Die alte Bundesregierung plante mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen.

Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt - ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff dazu zählt - bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Im Kern geht es für Unternehmen in Zukunft um die Etablierung eines Verfahrens, um Probleme zu begrenzen, die durch technische Störungen auftreten können. Dafür sollten die Verantwortlichen drei zentrale Fragenkomplexe klären:

  • Risikoanalyse: Welche Bereiche im Unternehmen können als kritisch gelten - sowohl für die eigene unternehmensinterne Struktur als auch für die Aufrechterhaltung der Aufgaben und Leistungen für die Gesellschaft? Wie risikobehaftet sind diese Bereiche? Was genau passiert bei Ausfällen? Gibt es Bereiche, die auch mit verminderter Kapazität arbeiten können?
  • Vorbeugende Maßnahmen und Strategien: Wie kann ich Risiken vermeiden oder mindern? Welche IT-Sicherheitsmaßnahmen sollte ich implementieren? Wie stelle ich die regelmäßige Überprüfung der Maßnahmen sicher?
  • Krisenmanagement: Gibt es einen Krisenplan? Gibt es einen internen Krisenstab? An wen müssen die einzelnen Abteilungen eskalieren?

Der ersten Risikoanalyse muss eine Identifikation der möglichen Schwachstellen und gefährdeten Schnittstellen folgen. Mit einem automatisierten Schwachstellen-Scanning und -Management wappnen sich Unternehmen präventiv gegen Angriffe. Sie liefern eine komplette Übersicht über die Gefährdungspotenziale im Unternehmen und in der Software.

Als europäischer Anbieter und Mitglied in der vom BSI ins Leben gerufenen Allianz für Cybersicherheit bietet zum Beispiel Greenbone mit dem Greenbone Security Manager eine einzige Software, die vom BSI in deutschen Behörden zugelassen ist. Zu jedem einzelnen System werden detaillierte Informationen zu gefundenen Schwachstellen und zum Schließen der Lücken übersichtlich dargestellt.

Die grundsätzliche Analyse und die Identifikation der möglichen Schwachstellen in den IT-Systemen ergänzen die in der BSI-Norm 100-4 zum Notfallmanagement festgehaltenen Anforderungen. Die Norm gilt als Leitfaden für belastbare Sicherheitsvorkehrungen und fasst die Mindestanforderungen zusammen.

Sowohl nach dieser Norm als auch den internationalen ISO-2700x-Normen müssen Ansprechpartner mit Rollen und Funktionen innerhalb und außerhalb des Unternehmens bekannt, informiert und vorbereitet sein, wenn es zu einem Ernstfall kommt.

Fazit

Viele Firmen sind sich der Bedeutung der IT und der Abhängigkeit des Unternehmens und der Gesellschaft von der IT nicht bewusst. Sie vernachlässigen daher das Risiko- und Krisenmanagement in diesem Bereich. Keine Firma verzichtet darauf, Schlösser in die Türen einzubauen. In der IT stehen die Türen jedoch häufig sperrangelweit offen. Ob es eines Gesetzes bedarf, dieses zu erkennen, darüber lässt sich streiten. Dass Unternehmen ein dezidiertes Schwachstellen- und Notfallmanagement betreiben sollten, ist offensichtlich.

Nächste passende Artikel

Handwerkerin mit einem Tablet in einer Werkstatt

Praxisreport "Mittelstand @…

Cyberangriffe: Kein ausreichender Schutz im…
Michael Krause: Geschäftsführer des IT-Dienstleisters TAP.DE Solutions GmbH

Ein neues Berufsbild hält…

Workplace Manager: Übersetzer zwischen Menschen
shutterstock 90284896

Beruf

Anforderungen an einen Administrator: Das wollen…
Cloud

IT-Strategien

Cloud-Dienstleistungen als Chance für Unternehmen
IT-Outsourcing

IT-Strategien

Outsourcing von IT-Infrastruktur erfolgreich…
ECM in der Cloud

IT-Infrastruktur

Outsourcing in die Cloud
IT-Cloud

IT-Cloud

Fördert die Cloud die Schatten-IT?
Managed Services als Servicekonzept

IT-Outsourcing

Managed Services als Servicekonzept
Überrasch’ mich!
mehrweniger

Mehr zum Thema

Informationssicherheit oft kein Thema

IT-Sicherheitsreport

Informationssicherheit oft kein Thema

Was Sie bei Compliance beachten müssen

Sicherheitsreport

Was Sie bei Compliance beachten müssen

Die Zehn Gebote in der Kommunikation

IT-Sicherheit

"BYOD" stellt IT-Abteilungen vor Herausforderungen

Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.

IT-Sicherheit

Schutz vor DDoS-Angriffen im Unternehmen

Datenspeicher in der Cloud

Shared Storage

Datenspeicher in der Cloud

Weiter zur Startseite