- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Verschärfung des IT-Sicherheitsgesetzes


Die Bundesregierung beschloss die Ausweitung des IT-Sicherheitsgesetzes auf insgesamt 918 Kritische Infrastrukturen
Dr. Frank Stummer von Rhebo sieht darin einen sinnvollen Schritt, die Unternehmen der Industrie 4.0 und des Industriellen Internet der Dinge (IIoT) flächendeckend in die Verantwortung zu nehmen - Die Notwendigkeit neuer IT-Sicherheitskonzepte und eines ausreichenden ITSicherheits-Score von Unternehmen wird verstärkt auch in Versicherungsunternehmen erkannt

- Anzeigen -





Mit der Ausweitung des seit Mai 2016 geltenden IT-Sicherheitsgesetzes reagierte die Bundesregierung und das Bundesministerium für Sicherheit in der Informationstechnik (BSI) auf die jüngsten Betriebsstörungen durch die Ransomware WannaCry und Uiwix. Mit der BSI-KRITIS-Verordnung wird die Anzahl der Branchen, die unter Kritische Infrastrukturen (Kritis) fallen, von 730 auf 918 erhöht. Die Verordnung konkretisiert zudem die Kriterien, nach denen ein Unternehmen als Kritis definiert wird.

Dr. Frank Stummer, Mitgründer der Rhebo GmbH, begrüßt den entschiedenen Schritt der Bundesregierung: "Das Bewusstsein für die Dringlichkeit eines sicheren IIoT ist mit WannaCry endlich flächenwirksam angekommen. Als Mitglied des TeleTrust Bundesverband IT-Sicherheit e.V. und der Allianz der Cyber-Sicherheit des BSI weisen wir seit geraumer Zeit auf die Risiken der Industrie 4.0 und des IIoT hin und sehen uns durch das ungewöhnlich schnelle Handeln der Bundesregierung bestätigt."

Mit dem IT-Sicherheitsgesetz und der bereits im Juni dieses Jahr in Kraft tretenden BSI-KRITIS-Verordnung werden die Kritis-Unternehmen noch stärker in die Pflicht genommen, sich gegen Cyberkriminalität sowie IT-bedingte Betriebsstörungen und Anlagenausfälle abzusichern.

Ziel der rechtlichen Rahmenbedingungen und Technologiestandards müsse es sein, den IT-Sicherheits-Score von Unternehmen zu erhöhen, so Stummer. Für Unternehmen bedeute dies nicht nur die Gewährleistung eines störungsfreien Betriebs, sondern werde zunehmend auch das Zünglein an der Waage bei Versicherungsleistungen wie z. B. Cyber-Security-Policen.

Dr. Frank Stummer erklärte: "Die Absicherung der Office-IT und industriellen Steuernetze bedeutet gerade in Unternehmen Kritischer Infrastrukturen nicht nur eine Gewährleistung der Betriebssicherheit, sondern auch der Inneren Sicherheit des Landes. Es ist darüber hinaus nicht unwahrscheinlich, dass die Anforderungen des IT-Sicherheitsgesetzes zukünftig für weitere Unternehmenstypen verbindlich werden. In Gesprächen mit Versicherungen haben wir ein großes Interesse erfahren, Strategien und Vorgaben zu entwickeln, die einen hohen IT-Sicherheits-Score von Unternehmen gewährleisten. Die Industrie ist nun endgültig gefordert zu handeln."

Über Dr. Frank Stummer
Dr. Frank Stummer ist Mitgründer und Business Developer beim deutschen Technologieunternehmen Rhebo. Er promovierte am Fraunhofer Institut für Systemtechnik und Innovationsforschung, bevor er 2006 mit der ipoque sein erstes Unternehmen für Netzwerksicherheit gründete und als CFO erfolgreich zum Exit führte
(Rhebo: ra)

eingetragen: 22.06.17
Home & Newsletterlauf: 11.07.17


Rhebo: Kontakt & Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Drive-By-Infektionen als Adobe Flash-Update

    Bislang macht die Bad Rabbit-Ransomware vor allem durch ihren auffälligen Namen von sich reden. Der Crypto-Trojaner selbst erscheint technisch nicht besonders bemerkenswert, so nutzt er etwa keinen neuen oder kreativen Angriffs-Vektor. Bemerkenswert ist allerdings, dass es immer noch Unternehmen und Organisationen gibt, die nichts aus den letzten Ransomware-Wellen gelernt zu haben scheinen. Offensichtlich bedient sich Bad Rabbit der Waterhole-Methode, d.h. die Malware wird durch infizierte Internet-Seiten, auf die die anvisierten Ziele häufig zugreifen, verbreitet. Diese Drive-By-Infektionen werden als Adobe Flash-Update getarnt und auf diese Weise unbedarfte Nutzer dazu verleitet, die Schadsoftware herunterzuladen. Mit Applikations-Whitelisting, aktuellen Browsern und Standard-Sicherheitssoftware sollte eigentlich eine Infektion vermieden werden. Dass wir trotzdem von betroffenen Unternehmen hören, etwa der Nachrichtenagentur Interfax, wirft ein schlechtes Bild auf die Sicherheitspraxis zahlreicher Firmen und Institutionen.

  • Ausbreitung von Bad Rabbit

    Die unter dem Namen "Bad Rabbit" bekannt gewordene Ransomware hat bereits einiges an medialer Aufmerksamkeit erlangt. Die ersten Opfer waren vornehmlich russische Nachrichtenagenturen und andere Institutionen in Russland und der Ukraine. Andrew Clarke, One Identity, kommentiert.

  • Zertifizierung muss auf offene Normen setzen

    Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus mangelt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

  • Generelle Problematik der Verschlüsselung lösen

    Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett angepeilte "Datenordnungspolitik" weiter vorantreibt. Neben dem Breitbandausbau wird das besonders in Bezug auf Verschlüsselung spannend - nicht nur wegen der NSA-Affäre sondern auch, um sich als Vorreiter der Digitalisierung zu positionieren. Ziel der großen Koalition war es, Deutschland zum Verschlüsselungsstandort Nummer eins zu machen und dem Bürger die sichere elektronische Kommunikation mit den Behörden zu ermöglichen. Ist dies gelungen? Wohl nur teilweise, denn die Politik hat mit dem De-Mail-Gesetz zwar Regelungen zur verschlüsselten Kommunikation erlassen. Das Ziel ist jedoch noch lange nicht erreicht, und dass andere Länder, darunter auch die Schweiz, gesicherte elektronische Kommunikation noch nicht in der Gesetzgebung verankert haben, ist wahrscheinlich nur ein schwacher Trost.

  • Sicherheit im Netz: Bleiben wir wachsam

    Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben kann: Produktionsausfälle, Standortschließungen, Verlust von geschäftskritischen Daten und Auswirkungen auf das Image. Monat für Monat erleben wir immer ausgefeiltere Angriffe mit neuen Bedrohungen für Schwachstellen in Unternehmen und Behörden. Natürlich ist es illusorisch zu glauben, dass man solche Cyberattacken stoppen kann. Unternehmen müssen daher reagieren und dürfen nicht mehr passiv bleiben. Für viele Unternehmen ist die Cybersicherheit ein Kostenfaktor sowohl technologisch als auch personell sowie organisatorisch. Daher behandeln Organisationen diese Thematik oft stiefmütterlich. Mehr als die Hälfte der Unternehmen geben immer noch weniger als 3 Prozent ihres IT-Budgets für Sicherheit aus (Quelle: Clusif 2016).