- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

IT als Teil der inneren Sicherheit?


Beitrag staatlicher Maßnahmen zu Datenschutz und IT-Produkten
Wenn es um IT-Sicherheit geht, besteht auch bei kommunalen Einrichtungen Nachholbedarf

- Anzeigen -





In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf den Markt. Jeder Anwender hinterlässt bei der Nutzung einen digitalen Fußabdruck im Netz und gibt Daten von sich preis. Um diese und auch essenzielle Versorgungsdienstleistungen zu schützen, greift das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer öfter und immer schärfer mit Gesetzgebungen, Richtlinien oder auch Gütesiegeln ein. Sorgt das BSI damit für zunehmende Bürokratie und steigende Kosten? Oder handelt es sich um eine längst überfällige Amtshandlung?

"Für Hersteller von IT-Produkten gibt es noch deutlich zu wenig Anreize, um neben Aspekten wie Funktionalität, Einfachheit und Schnelligkeit auch die Sicherheit in die Produkterstellung einfließen zu lassen. Rein freiwillige Vorgaben fanden bisher noch wenig Umsetzungsbereitschaft in der Wirtschaft", so Michael Voss, Geschäftsführer der Gesellschaft für Telekommunikation Voss mbH.

Vom Gütesiegel bis zum Gesetz
Wenn es um IT-Sicherheit geht, besteht auch bei kommunalen Einrichtungen Nachholbedarf: Immer wieder kommen Datenlecks etwa in Rathäusern ans Licht. Als erstes Bundesland richtete Bayern deshalb zum 1. Dezember 2017 ein eigenes Landesamt für IT-Sicherheit ein. Auch für den Verbraucher ist bei der Produktwahl die Sicherheit oft nur zweitrangig. Selbst wenn Wert auf Datenschutz gelegt wird, lässt sich dieser bei Produkten nicht sofort durchschauen. Deshalb plant das BSI die Einführung eines Gütesiegels, das zunächst für internetfähige Produkte und Konsumgüter gilt, langfristig aber auch auf IT-Dienstleistungen und Softwarelösungen ausgeweitet werden kann. [1]

"IT-Abteilungen profitieren natürlich von Produkten, die von vornherein verlässlich sind, weil sie dann weniger Geld und Zeit in ihr Sicherheitsnetz investieren müssen. Gütesiegel für die Produkte sorgen in diesem Zusammenhang für Transparenz und weniger Unsicherheit bei Verbrauchern", weiß Voss. Außerdem setzt das Ministerium verstärkt auf Kooperationen wie etwa mit dem Zentralverband des Deutschen Handwerks (ZDH), der 2017 die entsprechende Absichtserklärung unterzeichnete.

Auch versucht das BSI durch die Ausweitung der Allianz für Cyber-Sicherheit die Sensibilität für das Thema zu stärken und gleichzeitig unterstützend zu wirken. Die Allianz besteht aus Herstellern, Betreibern sowie Experten aus Wissenschaft und Forschung und unterstützt vor allem kleine und mittelständische Unternehmen. Nicht zuletzt verschärft das BSI mit dem IT-Sicherheitsgesetz die Vorschrift zu Meldungen von Datenlecks oder Hackerangriffen.

Sinkende IT-Budgets
Laut einer aktuellen Studie wurde im letzten Jahr jedes fünfte mittelständische Unternehmen Opfer von Hackerangriffen, gleichzeitig sanken die IT-Budgets im Vergleich zum Vorjahr. [2]

Besser sieht es nur bei Betreibern sogenannter kritischer Infrastrukturen (KRITIS) aus Bereichen wie Energie- und Wasserversorgung oder Informationstechnik aus: Sie mussten das neue IT-Sicherheitsgesetz bereits umsetzen, das Mindestanforderungen an die Informationssicherheit stellt. Zwei Drittel der KRITIS-Betreiber wollen deshalb ihr IT-Budget erhöhen, erst die Hälfte konnte allerdings ihre IT-Sicherheit schon an das genannte Gesetz anpassen. Ein Ausfall der wichtigen Versorger und dessen Auswirkungen auf Wirtschaft und Gesellschaft in Deutschland rechtfertigen laut BSI ihre Behandlung als Teil der inneren Sicherheit. [3]

Telekommunikationsunternehmen etwa verpflichtet das IT-Sicherheitsgesetz, Kunden zu warnen und ihnen nach Möglichkeit Lösungsvorschläge zur Verfügung zu stellen, wenn sie einen Missbrauch oder Angriff auf deren Anschlüsse feststellen. "Um die Kosten bei möglichen Angriffen niedrig zu halten und die Kommunikation zu erleichtern, lohnt es sich, Technik und Leistung von ein und demselben Anbieter zu beziehen", rät Telekommunikationsexperte Voss, der als unabhängiger Dienstleister beide Seiten, also Services und Produkte, überprüft und sie durch Verhandlungen zu optimieren weiß. "Das Ziel einer gesamtstaatlichen Cyber-Sicherheitsinfrastruktur lässt sich nur mit einer Mischung aus Gesetzen und freiwilligen Kooperationen erreichen. So verbessert sich die technische Sicherheit an der Basis, während der Austausch zwischen Wirtschaft, Staat und Wissenschaft zur tiefergehenden Vorbeugung von Hackerangriffen und Datendiebstahl beiträgt", so Voss.

[1] PwC im Auftrag des Bundesministeriums des Innern: Konzeption eines IT-Sicherheits-Gütesiegels. Abschlussbericht. (2017)

[2] PwC: Im Visier der Cyber-Gangster. So gefährdet ist die Informationssicherheit im deutschen Mittelstand. (2017)

[3] BSI: Schutz Kritischer Infrastrukturen durch IT-Sicherheitsgesetz und UP KRITIS (2017).
(GFT Voss: ra)

eingetragen: 07.01.18
Home & Newsletterlauf: 02.02.18


GFT Voss: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Black Hats sind die Bösen, die Cyberkriminellen

    Malwarebytes hat in ihrer weltweiten Studie "White Hat, Black Hat und das Aufkommen von Gray Hat - die tatsächlichen Kosten von Cyber-Kriminalität" unter anderem auch herausgefunden, dass Sicherheitsexperten in Deutschen Unternehmen im Vergleich unterbezahlt sind. Für viele Hacker ein Grund, sich der scheinbar lukrativeren Cyberkriminalität zuzuwenden. In einem aktuellen Hintergrundbericht zu Black Hats (Cyber-Kriminellen) wirft Malwarebytes einen detaillierten Blick auf Gründe, die Cyber- und Sicherheitsexperten auf die "dunkle Seite" ziehen.

  • Cyber-Sicherheit: Der Mensch als Schlüsselfaktor

    Jeder sechste Mitarbeiter würde auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben. Das hat eine Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ergeben. Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Organisationsstrukturen, die über das sogenannte Social Engineering gewonnen werden, sind für Cyber-Kriminelle wertvolle Grundlage zur Vorbereitung von gezielten Angriffen auf das Unternehmen.

  • Es gibt auch schlechte KI-Modelle

    Kaum ein Thema wird derzeit so stark diskutiert und vorangetrieben wie Künstliche Intelligenz. Fast jede IT-Sicherheitslösung schmückt sich damit, dass sie "Methoden der Künstlichen Intelligenz" zur Erkennung bisher unbekannter Bedrohungen einsetzt. Manch einer verkündet gar das Ende aller anderen Sicherheitskomponenten. Plausibel? Oder gefährlicher Übereifer? Sophos-Security-Spezialist Michael Veit ordnet die bisherigen Erkenntnisse zu Künstlicher Intelligenz in Security-Systemen ein und stellt das Postulat für eine moderne, sichere IT-Struktur auf.

  • SSL-Verschlüsselung jenseits der DSGVO

    Um die gesetzlichen Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) einzuhalten, ist SSL-Verschlüsselung zum Muss geworden. Sie lohnt sich jedoch auch abseits der europäischen Richtlinie: Neben einem positiven Einfluss auf das Google-Ranking und dem gewonnenen Vertrauen von Seitenbesuchern investieren Website-Betreiber auch in die eigene Sicherheit. Obendrein macht die Darstellung der verschiedenen Browser SSL-Verschlüsselung zu einem echten Gewinn - darauf machen die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) aufmerksam.

  • Einsatz von KI in Sicherheitsprodukten

    Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als technologischen Fortschritt. Dabei haben sie gar keine Wahl: Cyberkriminelle geben den Takt vor und werden immer mächtiger. Schuld ist der konzeptionelle Ansatz einer ganzen Branche, analysiert Sicherheitssoftware-Anbieter Bromium. Tatsächlich befinden sich Cyberkriminelle im Kampf um die Sicherheitshoheit seit jeher im Vorteil. Sie unterliegen keinen Organisationszwängen, sind schnell, per Definition skrupellos und geben mit immer fortschrittlicheren Attacken den Takt vor. Anbieter von Sicherheitssoftware können neuartige Angriffe nicht antizipieren und müssen reagieren; bis aber angepasste Abwehrmaßnahmen entwickelt und am Ende von ihren Unternehmenskunden produktiv eingesetzt werden, ist es meist schon zu spät. Dann beginnt der Kreislauf wieder von vorne.