Neues IT-Sicherheitsgesetz

So sollten Unternehmen sich vorbereiten

Mit dem im Juni vergangenen Jahres in Kraft getretenen IT-Sicherheitsgesetz stehen viele Unternehmen vor neuen Herausforderungen. Denn das Gesetz bezieht sich zwar eigentlich auf Anbieter kritischer Infrastrukturen, schlägt jedoch viel weitere Wellen, als bisher angenommen.

Bild: Shutterstock.com / Venturashutterstock_261995000_Ventura

Mit dem neuen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ will die Bundesregierung Cyberkriminalität besser in den Griff bekommen. Mit Inkrafttreten des neuen Gesetzes müssen Betreiber kritischer Infrastrukturen Mindeststandards zur IT-Sicherheit einhalten und erhebliche Störungen melden. Hierunter fallen Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Das Gesetz sieht in allen diesen Bereichen besondere Anforderungen an die IT-Sicherheitsstandards vor.

Zusätzlich zu den verbindlichen IT-Sicherheitsstandards wird eine Meldepflicht eingeführt, bei der beispielsweise Telekommunikationsanbieter oder Versorgungsunternehmen Sicherheitsvorfälle melden müssen. Andere relevante Einrichtungen und Unternehmen sollen erst dann eine Meldepflicht haben, wenn eine entsprechende Rechtsverordnung in Kraft tritt. Es ist allerdings damit zu rechnen, dass dies in absehbarer Zeit geschehen wird. Die im neuen Gesetz beschlossene freiwillige Vorratsspeicherung sieht einen Zeitraum von drei Tagen bis zu einem halben Jahr vor, in denen Verbindungsdaten gespeichert werden dürfen und zwar zur „Abwehr von Störungen“. Die recht weit gefasste Definition des Grundes zur Speicherung sowie ein ebenfalls großer möglicher Zeitraum rufen Kritiker auf den Plan.

Die Meldung von Störfällen soll zentral beim BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen. Generell soll mit dem neuen IT-Sicherheitsgesetz die Rolle des BSI deutlich gestärkt werden. So soll das Amt die Aufgabe der zentralen Koordination der sicherheitsrelevanten Themen in diesem Bereich übernehmen. Das dehnt sich aus bis hin zu konkreten Handlungsanweisungen, mit denen das BSI Unternehmen zur Verbesserung der IT-Sicherheit veranlassen können soll. Ein Aspekt, der prinzipiell zu begrüßen ist.

Neue Pflichten  – neue Chancen
Nach offiziellen Angaben sind rund 2.000 Einrichtungen und Unternehmen deutschlandweit von dem IT-Sicherheitsgesetz betroffen. Inoffizielle Schätzungen gehen aber davon aus, dass die Zahl der tatsächlich betroffenen Unternehmen weitaus höher liegt, nämlich bei rund 18.000 Unternehmen. Zu derart stark differierenden Schätzungen kommt es, weil noch nicht deutlich ist, welche Firmen tatsächlich unter das neue Gesetz fallen.

Sicher ist, dass auch Betreiber von Online-Shops und Anbieter von Hosting-Produkten und Webservern unter die Regelungen des neuen Gesetzes fallen. Sie müssen mit einer IT auf dem Stand der aktuellen Technik ausgerüstet sein und besondere Anforderungen – die noch zu umreißen sind – erfüllen. Bei näherer Betrachtung müssen sich aber auch Zulieferer und IT-Systemhäuser mit dem neuen Gesetz beschäftigen. Denn wer Produkte und Dienstleistungen an unter das IT-Sicherheitsgesetz fallende Unternehmen liefert, könnte bei der Erfüllung der Anforderungen des Gesetzes ebenfalls mit in die Pflicht genommen. Formulierungen wie „aktueller Stand der Technik“ und „Erfüllung besonderer Sicherheitsanforderungen“ sind in diesem Zusammenhang sehr weit umfasste Begriffe, mit denen die jeweiligen Firmen jonglieren müssen.

Wenn beispielsweise ein Energieversorger Smart Metering – also Fernauslese von Zählern –  anbietet, sind in diesem System viele Schnittstellen, die eine kriminelle Intrusion ermöglichen können. Die technische Absicherung der Übertragungswege und Übergabepunkte in diesem System müssen dann der Provider des Datennetzes sowie die Zulieferer und Integratoren der externen Software übernehmen. Dadurch weitet sich der Kreis der betroffenen Unternehmen, die unter das neue Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme fallen, deutlich aus. Es ist also sehr wahrscheinlich, dass sich in den kommenden Monaten immer mehr Unternehmen intensiv mit ihrer IT-Sicherheit und Fragen der Compliance beschäftigen müssen.

Auch wenn die Standards derzeit noch nicht griffig definiert sind: Für Unternehmen ist es essentiell, gut vorbereitet zu sein, um die vom Gesetzgeber geforderten Standards nachweislich zu erfüllen. Vom BSI gibt es bereits verschiedene Checklisten und Whitepapers, die geeignete Maßnahmen beschreiben. Sie sind eine gute Grundlage für Unternehmen und Dienstleister, um den erhöhten Anforderungen des IT-Sicherheitsgesetzes zu entsprechen und gleichzeitig auch Zulieferer auf deren Umsetzung zu prüfen.

Kompetente Partner gefragt
Für viele Unternehmen in den vom Gesetz adressierten sicherheitsrelevanten Bereichen ist die Umsetzung nur mit entsprechenden Partnern in einem vertretbaren Aufwand möglich. Besonders die Gewährleistung der Anforderung des aktuellen Stands der Technik erfordert Partner, die ihre Produkte ständig an die aktuellen Gegebenheiten anpassen. So muss beispielsweise Security-Software praxisnah und der Bedrohung entsprechend entwickelt und stets aktualisiert werden. Das deutsche Sicherheitsunternehmen G DATA etwa entwickelt seine Software gemäß den Anforderungen des BSI und sorgt durch eine proaktive Update-Politik dafür, dass die Produkte auf dem aktuellen Stand sind. Daher begrüßt das Unternehmen auch den Schritt der Bundesregierung, den Schutz kritischer IT-Systeme per Gesetz zu optimieren. Denn Bedrohungen sind sehr real, wie sich tausendfach in den Securi-tyLabs von G DATA zeigt. Angriffe auf die Infrastruktur werden immer ausgeklügelter und es ist nicht mehr die Frage „ob“, sondern „wann“ ein Unternehmen im Fokus von Cyber-Kriminellen steht. Nur mit penibel umgesetzten Sicherheitsrichtlinien wird es gelingen, die kommenden Bedrohungen zuverlässig abzuwehren. Ohne entsprechende Herstellerpartner und Dienstleister wird das kaum funktionieren.

Bild: privatG Data Thorsten Urbanski Portrait 01Autor: Thorsten Urbanski, M. A. Kommunikationswissenschaft, leitet die nationale und internationale Unternehmenskommunikation der G DATA Software AG. Neben dieser Funktion leitet er die TeleTrust Arbeitsgruppe „IT-Security made in Germany“  und ist Mitglied im wissenschaftlichen Beirat der Deutsche Messe Initiative „CeBIT against Cybercrime“.

 

 

6065 motiv-digitale-transformation-1

Kommentare & Pingbacks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*