zurück Blog

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 1)

Nun kommt es in jedem Fall. Nach einem ersten Anlauf des Bundesinnenministeriums zum IT-Sicherheitsgesetz im März letzten Jahres ist einiges passiert. Die politischen Institutionen sind beflügelt, Maßnahmen zum Schutz kritischer Infrastrukturen zu ergreifen. Das Gesetz soll bis Ende des Jahres verabschiedet werden. Wir blicken zurück, und schildern, worauf Unternehmen sich bereits jetzt einstellen sollten.

Chronologie einer IT-Sicherheitspolitik
Im Mai 2013 testete die Zeitschrift c’t, wie schwierig – oder eher: einfach – es ist, die Kontrolle über Industrieanlagen zu übernehmen, die mit dem Internet verbunden sind. Im Falle eines ernsthaften Angriffs könnte beispielsweise eine Windkraftanlage nicht abgeschaltet werden und das Stromnetz überlasten, eine Heizungsanlage im Gefängnis die Raumtemperatur erhöhen, könnten intelligente Stromzähler ausfallen und Netzinstabilitäten oder sogar Blackouts auftreten. Im Juni 2013 berichtete die britische Tageszeitung „The Guardian“ erstmalig über den Zugriff der National Security Agency auf US-Telefondaten. Heute wissen wir: Dies war der Auftakt zum NSA-Skandal. Mit dem Koalitionsvertrag setzen die Parteien das IT-Sicherheitsgesetz nun wieder auf die Agenda:
„Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle.“
Nachdem im Dezember schließlich bekannt wurde, dass für ca. 16 Millionen E-Mail-Konten die Zugangsdaten gestohlen wurden, bemüht sich die Regierung verstärkt um gesetzliche Regelungen für IT-Sicherheit.

Neue Compliance-Vorschriften für Unternehmen
Mit neuen Regelungen für IT-Sicherheit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Bundesregierung plant mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen. Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt – ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff zugehörig zählt – bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Aus Sicht von mod IT Services sollte weiterhin die Frage der Zusammenarbeit der beteiligten Behörden, auch auf europäischer und internationaler Ebene, im Vorfeld geklärt werden. Denn, und das ist mir wichtig zu betonen: Angriffe über das Internet auf Energieversoger, Börsen und Finanzsysteme machen nicht vor Landesgrenzen halt.

Das Bundesinnenministerium hat ein Online-Dossier zum Thema Cyber-Sicherheit erstellt. Dort finden sich der erste Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme sowie die Eckpunkte des IT-Sicherheitsgesetzes. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Wann ist der richtige Zeitpunkt für einen Schwachstellenscan? Welche Teams sollten Sie einbeziehen? Und inwiefern könnte der laufende IT-Betrieb davon beeinträchtigt werden? Schwachstellenscans zählen zu den wesentlichen Maßnahmen einer Security-Strategie. Meine persönliche Checkliste zeigt Ihnen, […]

mehr
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten mehr
Enterprise Collaboration weitergedacht: das neue Skype for Business mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr

AKTUELLE ARTIKEL

IT-ServiceDesk Agent

IT-ServiceDesk Agent m/w

Wir suchen ab sofort und unbefristet für unseren Standort in Einbeck einen IT-ServiceDesk Agent m/w. Ihr Schwerpunkt: IT Service / IT Administration First- und Second-Level-Support   Ihr Job: Im Single Point of Contact 1st- und […]

mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr