IT Sicherheitsgesetz

Das IT Sicherheitsgesetz trat am 25. Juli 2015 in Kraft.

Die Rechtsverordnungen sind noch nicht veröffentlicht und gültig, welche die Unternehmen und Rahmenbedingungen benennt, die explizit unter das IT Sicherheitsgesetz fallen. Der erste Entwurf ist nun seit Februar 2016 raus.

Aber der reale Bezug auf Sicherheitsvorkommnisse ist aktueller denn je. Neben der zuletzt bekannt gewordenen Attacke auf VTech und das Netzwerk des Bundestages in 2015. Auch die Attacken mit den Loki Virus oder seiner Vorgänger auf zentrale Infrastrukturen zeigen die Gefahren auf mit denen die IT heute mit geeigneten Mitteln, abgestimmten Prozessen und einer guten IT Organisation begegnen muss. Und viele kleine und mittlere Unternehmen haben es noch vielleicht noch nicht einmal bemerkt, dass Sie schon betroffen sind oder waren.

Die Art der Attacken ist vielfältig, sie kommen von außen und auch von innen, von eigenen Mitarbeiter, bewusst wie auch unbewusst. Und es wird von vielen Unternehmen noch immer unterschätzt, die in Aussagen: wie wir sind doch viel zu uninteressant, mich wird es schon nicht treffen, wir haben doch eine Virenschutz Software, etc. ausdrücken.

Aber jedes Unternehmen kann betroffen werden. Ein Beispiel ist, dass auch heute noch unachtsame Mitarbeiter aus einer privaten Email den Anhang öffnen und eine Datei ausführen, der bei dem Unternehmen alle wichtigen Daten auf dem Server verschlüsselt. Nach 4 Tagen wird die Verschlüsselung erkannt und die nicht verschlüsselten Backups konnten zurückgespielt werden. 5 Tage Arbeit waren verloren. Dieses nachzuarbeiten dauerte dann noch mehr als weitere 5 Tage.

Dieses einfache Beispiel zeigen, dass Cyber-Attacken aus dem Internet kein abstraktes Risikoszenario sind, sondern eine real existierende Bedrohung mit Potential zur Katastrophe.

Das IT Sicherheitsgesetz soll die deutschen kritischen Infrastrukturen schützen und sensibilisieren. Auch viele andere Unternehmen sind heute ohne eine funktionierende IT nicht mehr funktionsfähig oder gar überlebensfähig. Es ist nicht nur die Funktionsfähigkeit der IT zu gewährleisten, sondern auch die anderen Daten, z. Bsp. Ihre Kundendaten, die Daten Ihrer Mitarbeiterdaten, Entwicklungen, Patente oder gar ihr Source Code ist vor nicht autorisiertem Zugriff oder Manipulation zu schützen.

Welche Unternehmen gehören zu KRITIS?

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Dabei sind Unternehmen aus den Sektoren Energie, Gesundheit, IT und Telekommunikation, Transport und Verkehr (ÖPNV, SPNV, Luftfahrt, Schifffahrt, Logistik), Wasser, Ernährung sowie das Finanz- und Versicherungswesen definiert. Heute geht man von ca. 2.000 Unternehmen aus, die vom IT-Sicherheitsgesetz betroffen sein werden.

Was sollen betroffene Unternehmen tun?

Gemäß dem Gesetz bleibt den Unternehmen nach dem Inkrafttreten der Verordnung zwei Jahre Zeit bis zur Umsetzung der Anforderungen. Dieses ist aus unseren Erfahrungen recht wenig Zeit, je nachdem wie die Unternehmen aufgestellt sind.  Daher empfehlen wir jetzt damit zu starten den eigenen Status Quo bezüglich der Umsetzung von IT Sicherheit zu prüfen und damit zu beginnen, ggf. Probleme und Defizite zu beheben. Dabei ist es sicher sinnvoller in kleinen Schritten die IT Sicherheit zu optimieren und zu erhöhen, statt einen großen Wurf zu wagen, der zum Ende hin alles in einem umsetzen soll. Denken Sie dabei auch an Ihre Mitarbeiter, die dieses alles umsetzen und weiter vorantreiben sollen. Es ist dabei notwendig Technik, Organisation und Prozesse in Einklang zu bringen und scheuen Sie sich auch nicht davor mit pragmatische Schritten zu beginnen .

Bisher haben die Unternehmen immer nur die Vorfälle gemeldet, die Ihnen „genehm“ waren und haben IT Sicherheit nach einem eigenen Maßstab umgesetzt. IT Sicherheit gehört in jedem Unternehmen in qualifizierte Hände. Dazu müssen IT Mitarbeiter qualifiziert und gut ausgebildet sein.

So hat das Gesetz die Möglichkeit geschaffen, Bußgelder auszusprechen. IT-Sicherheitsvorfälle, welche durch Versäumnisse bei der Realisierung und Strukturierung von IT-Sicherheitsmaßnahmen erklären lassen, können nun mit bis zu 100.000 Euro Bußgeld belegt werden. Zudem kann der BSI als die Umsetzung und Beseitigung der Schwachstellen einfordern.

Wir sind allerdings der Meinung, dass die Sensibilisierung, Information und Unterstützung bei der Umsetzung wesentlich mehr Erfolge beschert als nur einfache Bußgelder. Aber es gibt auch Stimmen, die sagen, nur durch den Griff ins „Portemonnaie“ lassen sich notwendige Maßnahmen realisieren.

Der Aufbau eines ISMS (IT Security Management System) und der benötigten Meldestrukturen wird den Bund und die betroffenen Unternehmen sicher vor erhebliche finanzielle und personelle Herausforderungen stellen. Die Unternehmen befürchten Wettbewerbsnachteile statt dieses als Chance zu begreifen sich nachhaltig im Markt zu positionieren und durch eine nachgewiesene Informationssicherheit selbst einen Wettbewerbsvorteil zu verschaffen.

Und was kommt danach?

Inwieweit sich die IT-Sicherheit von kritischen Infrastrukturen nachhaltig verbessert werden kann, wird die Zukunft zeigen. Aber fehlende Grundlagen müssen jetzt umgesetzt werden und die Zeit von 2 Jahren dafür ist doch recht knapp bemessen.

Aber es muss ja noch eine pragmatische und dennoch sichere Vorgehensweise zu einem ISMS ohne gleich den ganzen BSI Grundschutz Katalog durchgehen und bearbeiten zu müssen. Fragen Sie uns.