6. März 2014

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 1)

Nun kommt es in jedem Fall. Nach einem ersten Anlauf des Bundesinnenministeriums zum IT-Sicherheitsgesetz im März letzten Jahres ist einiges passiert. Die politischen Institutionen sind beflügelt, Maßnahmen zum Schutz kritischer Infrastrukturen zu ergreifen. Das Gesetz soll bis Ende des Jahres verabschiedet werden. Wir blicken zurück, und schildern, worauf Unternehmen sich bereits jetzt einstellen sollten.

Chronologie einer IT-Sicherheitspolitik
Im Mai 2013 testete die Zeitschrift c’t, wie schwierig – oder eher: einfach – es ist, die Kontrolle über Industrieanlagen zu übernehmen, die mit dem Internet verbunden sind. Im Falle eines ernsthaften Angriffs könnte beispielsweise eine Windkraftanlage nicht abgeschaltet werden und das Stromnetz überlasten, eine Heizungsanlage im Gefängnis die Raumtemperatur erhöhen, könnten intelligente Stromzähler ausfallen und Netzinstabilitäten oder sogar Blackouts auftreten. Im Juni 2013 berichtete die britische Tageszeitung „The Guardian“ erstmalig über den Zugriff der National Security Agency auf US-Telefondaten. Heute wissen wir: Dies war der Auftakt zum NSA-Skandal. Mit dem Koalitionsvertrag setzen die Parteien das IT-Sicherheitsgesetz nun wieder auf die Agenda:
„Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle.“
Nachdem im Dezember schließlich bekannt wurde, dass für ca. 16 Millionen E-Mail-Konten die Zugangsdaten gestohlen wurden, bemüht sich die Regierung verstärkt um gesetzliche Regelungen für IT-Sicherheit.

Neue Compliance-Vorschriften für Unternehmen
Mit neuen Regelungen für IT-Sicherheit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Bundesregierung plant mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen. Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt – ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff zugehörig zählt – bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Aus Sicht von mod IT Services sollte weiterhin die Frage der Zusammenarbeit der beteiligten Behörden, auch auf europäischer und internationaler Ebene, im Vorfeld geklärt werden. Denn, und das ist mir wichtig zu betonen: Angriffe über das Internet auf Energieversoger, Börsen und Finanzsysteme machen nicht vor Landesgrenzen halt.

Das Bundesinnenministerium hat ein Online-Dossier zum Thema Cyber-Sicherheit erstellt. Dort finden sich der erste Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme sowie die Eckpunkte des IT-Sicherheitsgesetzes. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können weiterlesen
Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen weiterlesen
So gestalten Sie die Rollout-Logistik erfolgreich weiterlesen

AKTUELLE ARTIKEL

September 2020 – Nicht ausschließlich digital weiterlesen
IT Systemadministrator m/w/x – RedLabel! weiterlesen
IT Systemadministrator – Mobile Device Management m/w/x weiterlesen