zurück Blog

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 1)

Nun kommt es in jedem Fall. Nach einem ersten Anlauf des Bundesinnenministeriums zum IT-Sicherheitsgesetz im März letzten Jahres ist einiges passiert. Die politischen Institutionen sind beflügelt, Maßnahmen zum Schutz kritischer Infrastrukturen zu ergreifen. Das Gesetz soll bis Ende des Jahres verabschiedet werden. Wir blicken zurück, und schildern, worauf Unternehmen sich bereits jetzt einstellen sollten.

Chronologie einer IT-Sicherheitspolitik
Im Mai 2013 testete die Zeitschrift c’t, wie schwierig – oder eher: einfach – es ist, die Kontrolle über Industrieanlagen zu übernehmen, die mit dem Internet verbunden sind. Im Falle eines ernsthaften Angriffs könnte beispielsweise eine Windkraftanlage nicht abgeschaltet werden und das Stromnetz überlasten, eine Heizungsanlage im Gefängnis die Raumtemperatur erhöhen, könnten intelligente Stromzähler ausfallen und Netzinstabilitäten oder sogar Blackouts auftreten. Im Juni 2013 berichtete die britische Tageszeitung „The Guardian“ erstmalig über den Zugriff der National Security Agency auf US-Telefondaten. Heute wissen wir: Dies war der Auftakt zum NSA-Skandal. Mit dem Koalitionsvertrag setzen die Parteien das IT-Sicherheitsgesetz nun wieder auf die Agenda:
„Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle.“
Nachdem im Dezember schließlich bekannt wurde, dass für ca. 16 Millionen E-Mail-Konten die Zugangsdaten gestohlen wurden, bemüht sich die Regierung verstärkt um gesetzliche Regelungen für IT-Sicherheit.

Neue Compliance-Vorschriften für Unternehmen
Mit neuen Regelungen für IT-Sicherheit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Bundesregierung plant mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen. Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt – ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff zugehörig zählt – bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Aus Sicht von mod IT Services sollte weiterhin die Frage der Zusammenarbeit der beteiligten Behörden, auch auf europäischer und internationaler Ebene, im Vorfeld geklärt werden. Denn, und das ist mir wichtig zu betonen: Angriffe über das Internet auf Energieversoger, Börsen und Finanzsysteme machen nicht vor Landesgrenzen halt.

Das Bundesinnenministerium hat ein Online-Dossier zum Thema Cyber-Sicherheit erstellt. Dort finden sich der erste Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme sowie die Eckpunkte des IT-Sicherheitsgesetzes. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Wann hatten Sie Ihre letzte Datenpanne

Wann hatten Sie Ihre letzte Datenpanne?

Können Unternehmen Informationssicherheit proaktiv betreiben? Ja, sie können. Ein gutes Schwachstellenmanagement erkennt Risiken, bevor sie eintreten (z.B. die Ransomware WannaCry oder Petya). Dirk Größer beschreibt in diesem Gastbeitrag, wie sich Schwachstellenmanagement in ein Informationssicherheitsmanagementsystem (kurz […]

mehr
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Metasploit. Einen Schritt voraus, oder besser zwei! mehr
Safe Harbor wird zum EU US Privacy Shield mehr

AKTUELLE ARTIKEL

IT ist Zukunft – Ausbildung Fachinformatik mehr
IT-Sicherheitsgesetz: Es besteht Handlungsbedarf! mehr
Metasploit. Einen Schritt voraus, oder besser zwei! mehr
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu mehr