- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Meldepflicht von Sicherheitsvorfällen


Ist das neue IT-Sicherheitsgesetz wirklich der große Wurf?
Das IT-Sicherheitsgesetz wird Einfluss haben auf das Bundesdatenschutz-, das Telekommunikations- und das Telemediengesetz und drei maßgebliche Veränderungen für KRITIS-Unternehmen mit sich bringen

Von Stephan Krischke, Leiter des Fachbereichs "IT-Sicherheit" im Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG)

(11.08.15) - Was beinhaltet das neue IT-Sicherheitsgesetz und welche Auswirkungen hat es für Unternehmen, insbesondere für die kleinen Betriebe und den Mittelstand? Handelt es sich tatsächlich, wie mehrfach von der Regierung angekündigt, um den großen Wurf in Sachen IT-Sicherheit? Der Fokus liegt bei diesem Gesetz auf der Verbesserung der IT-Sicherheit für Unternehmen, die eine kritische Infrastruktur (KRITIS) betreiben. Die Definition einer kritischen Infrastruktur ist noch nicht abschließend erfolgt; sie tangiert aber hauptsächlich Unternehmen, die für die Versorgung der grundlegenden gesellschaftlichen Bedürfnisse zuständig sind: Energie, Geld (Banken), Lebensmittel, Telekommunikation etc. Mit dem 1. Juli beginnt die 18-monatige Umsetzungsphase des Gesetzes und somit die Einstufung der KRITIS-Unternehmen. Der ersten Abschätzung nach werden ca. 2.000 bis 3.000 als KRITIS-Unternehmen definiert.

Das IT-Sicherheitsgesetz wird Einfluss haben auf das Bundesdatenschutz-, das Telekommunikations- und das Telemediengesetz und drei maßgebliche Veränderungen für KRITIS-Unternehmen mit sich bringen:

1. die Verpflichtung zum Betrieb eines Information Security Management (ISMS),
2. eine Zertifizierung mindestens nach ISO 27001 ff.,
3. die Meldepflicht von Sicherheitsvorfällen.

Seit 2008 wird in unterschiedlichen Arbeitskreisen unter Beteiligung der 40 deutschen Blue Chip-Unternehmen an der Ausgestaltung und Umsetzung gearbeitet, d.h. alle großen Unternehmen sind damit schon seit einiger Zeit beschäftigt und werden vorbereitet sein.

Die "Großen" werden Anforderungen durchreichen
Wie sieht es aber mit den kleinen Betrieben aus, die beispielsweise als Zulieferer der Großen agieren oder nicht als KRITIS-Unternehmen (trotz kritischer IT-Infrastrukturen) eingestuft werden? Meine Erfahrungen der letzten Monate zeigen, dass die Großen die Anforderungen durchreichen werden. Dann werden selbst nicht betroffene Unternehmen trotzdem zum IT-Sicherheitsmanagement (z.B. per Audit) verpflichtet. Dies wird die Anzahl der generell vom neuen Gesetz betroffenen Unternehmen deutlich erhöhen – anders als ursprünglich gewollt.

CCO: Keine der Maßnahmen ist zielführend
Ist das IT-Sicherheitsgesetz sinnvoll und wird es der große Wurf werden? Der Chaos-Computer-Club (CCC) gab kurz nach der ersten Lesung folgenden Kommentar ab: "Nicht eine einzige der im Gesetzesentwurf vorgeschlagenen Maßnahmen ist zielführend, um die IT-Sicherheit tatsächlich zu erhöhen. Man hat offenbar ein Verständnis von IT-Sicherheit in ein Gesetz gegossen, wonach lediglich durch mehr verpflichtende Dokumentations- und Berichtsregularien und Checklisten in den Unternehmen wirksame Verbesserungen herbeigeführt werden könnten."

Mein Fazit: Die Einhaltung gewisser, der Unternehmensgröße und dem finanziellen Rahmen angepasster IT-Sicherheitsmaßnahmen (wie beispielsweise regelmäßige Datensicherung, angemessener Viren- und Internetschutz, Passwortmanagement, IT-Dokumentation, Umgang mit externen Dienstleistern etc.) sollte für alle Unternehmen verpflichtend sein. Der Fokus liegt dabei auf pragmatischen technischen Lösungen, verbunden mit organisatorischen Schritten, um die Wirksamkeit zu kontrollieren. Dies würde vielen Unternehmen helfen, die IT-Risiken zu minimieren, finanzielle Schäden in Problemsituationen im Griff zu haben und die Abhängigkeit von der IT kontrollierbar zu gestalten. Die Umsetzung solcher grundlegender IT-Maßnahmen würde selbst bei der Einführung neuer Gesetze keine große Aufregung auch innerhalb kleiner Unternehmen erzeugen. (BISG: ra)

BISG: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Sicherheitsanforderungen an 5G-Netzausrüster

    In der Diskussion um Sicherheitsanforderungen an Mobilfunknetzausrüster stellt sich der Digitalverband Bitkom gegen nationale Alleingänge. Jegliche Regulierung von Anbietern von Netztechnologie sollte aus Bitkom-Sicht vielmehr EU-weit einheitlich sein. "Ein regulatorischer Flickenteppich würde den 5G-Aufbau verzögern und ein nationaler Alleingang würde Deutschland zurückwerfen", sagt Bitkom-Präsident Achim Berg. Derzeit plant die Bundesnetzagentur, den Katalog an Sicherheitsanforderungen für Telekommunikationsnetze zu erweitern. Berg: "Wir begrüßen, dass kritische Kernkomponenten nur eingesetzt werden dürfen, wenn sie von einer anerkannten Prüfstelle getestet und vom Bundesamt für Sicherheit in der IT zertifiziert wurden. Damit das in der Praxis aber auch funktioniert, müssen die bislang formulierten Eckpunkte der Bundesnetzagentur umgehend präzisiert werden."

  • Die IT-Branche gilt als vermeintliche Männerdomäne

    Angesichts des Fachkräftemangels in der IT beginnt der Markt zu reagieren und sich zu organisieren. Es handelt sich dabei jedoch zumeist noch um vereinzelte Initiativen, die in großem Umfang schwer umzusetzen sind. Diese Entwicklung ist für unsere Gesellschaft und speziell für Unternehmen eine große Herausforderung: Wie identifizieren und gewinnen Unternehmen heute und zukünftig geeignete Bewerber? Obwohl die Digitalisierung unser Leben grundlegend verändert hat und digitale Technologien zunehmend unseren Alltag bestimmen, wissen wir doch nur sehr wenig über digitale Berufe. Dies gilt nicht nur für Schüler, sondern auch für Eltern, einige Lehrer und sogar Berufsberater. Das Image des "Computer-Nerds" ist fest in unserer Gesellschaft verankert und lässt sich nur schwer abschütteln.

  • Manipulation von DNS-Einträgen

    FireEye beobachtet derzeit mehrere Aktivitäten, die für die Manipulation von DNS-Einträgen verantwortlich sind. Auf einige dieser Aktivitäten haben wir bereits in unserem Blog-Beitrag vom 9. Januar 2019 hingewiesen: Wir gehen davon aus, dass ein kleiner Teil dieser Aktivitäten vermutlich von einem iranischen Akteur durchgeführt wird. Dabei nutzt der Akteur Malware, die wir bei FireEye TWOTONE nennen - bei TALOS DNSpionage genannt. Wir vermuten jedoch, dass andere Akteure - und eventuell andere Staaten - hinter weiteren Bedrohungen durch DNS-Manipulation stehen, die nicht in diesem Zusammenhang stehen. Einige dieser Aktivitäten haben wir bereits im Januar 2019 auf unserem Blog vorgestellt. Wir glauben, dass diese Aktivität die Verwendung gestohlener EPP-Anmeldeinformationen beinhaltete und wahrscheinlich staatlich finanziert wurde. EPP ist ein zugrundeliegendes Protokoll, das zur Verwaltung von DNS-Systemen verwendet wird.

  • Komplexität eines Seitenkanalangriffs

    Mit Spectre wütet seit Jahren eine Sicherheitslücke, die Intel- und AMD-Prozessoren verwundbar gemacht hat. Nun möchte sich Suchmaschinenriese Google zusammen mit einem Expertenteam dem Problem annehmen. IT-Sicherheitsexperte Christian Heutger begrüßt diesen Schritt: "Googles Vorstöße im Kampf gegen die Sicherheitslücke Spectre sind sehr zu begrüßen. Die Komplexität eines Seitenkanalangriffs, wie Spectre, sorgt allerdings dafür, dass dieser Kampf lange dauern wird. Ich vermute, dass noch einige Zeit ins Land gehen, bis die Gefahr, die von der Sicherheitslücke Spectre ausgeht, vollständig gebannt sein wird. Aber Google und sein LLVM-Team gehen einen entsprechenden guten Weg", so der Geschäftsführer der PSW Group.

  • Cyberangriffe eine Selbstverständlichkeit

    Mit der Weiterentwicklung von Bedrohungen wächst auch der Bedarf von Unternehmen, sich gegen die geschäftsschädigenden Auswirkungen von Cyberangriffen zu schützen. Angesichts dieses Trends fordert die Cybersicherheitsanbieterin F-Secure, dass sowohl die ständige Bereitschaft für mögliche Sicherheitsverletzung als auch eine schnelle und effektive Eindämmung, die das richtige Gleichgewicht von Mensch, Prozess und Technologie abdeckt, stärker in den Vordergrund gestellt wird. "Cyberangriffe sind für viele Unternehmen inzwischen eine Selbstverständlichkeit. Es geht nicht mehr darum, ob ein Unternehmen angegriffen wird, sondern um die Frage, wann es passiert. Das erfordert eine Veränderung in der Art und Weise, wie Unternehmen mit vielen Sicherheitsaspekten umgehen", sagt Tim Orchard, Managing Director von F-Secure Countercept.