6. März 2014

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 1)

Nun kommt es in jedem Fall. Nach einem ersten Anlauf des Bundesinnenministeriums zum IT-Sicherheitsgesetz im März letzten Jahres ist einiges passiert. Die politischen Institutionen sind beflügelt, Maßnahmen zum Schutz kritischer Infrastrukturen zu ergreifen. Das Gesetz soll bis Ende des Jahres verabschiedet werden. Wir blicken zurück, und schildern, worauf Unternehmen sich bereits jetzt einstellen sollten.

Chronologie einer IT-Sicherheitspolitik
Im Mai 2013 testete die Zeitschrift c’t, wie schwierig – oder eher: einfach – es ist, die Kontrolle über Industrieanlagen zu übernehmen, die mit dem Internet verbunden sind. Im Falle eines ernsthaften Angriffs könnte beispielsweise eine Windkraftanlage nicht abgeschaltet werden und das Stromnetz überlasten, eine Heizungsanlage im Gefängnis die Raumtemperatur erhöhen, könnten intelligente Stromzähler ausfallen und Netzinstabilitäten oder sogar Blackouts auftreten. Im Juni 2013 berichtete die britische Tageszeitung „The Guardian“ erstmalig über den Zugriff der National Security Agency auf US-Telefondaten. Heute wissen wir: Dies war der Auftakt zum NSA-Skandal. Mit dem Koalitionsvertrag setzen die Parteien das IT-Sicherheitsgesetz nun wieder auf die Agenda:
„Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle.“
Nachdem im Dezember schließlich bekannt wurde, dass für ca. 16 Millionen E-Mail-Konten die Zugangsdaten gestohlen wurden, bemüht sich die Regierung verstärkt um gesetzliche Regelungen für IT-Sicherheit.

Neue Compliance-Vorschriften für Unternehmen
Mit neuen Regelungen für IT-Sicherheit sollen Unternehmen, die kritische Infrastrukturen bereitstellen, dazu verpflichtet werden, regelmäßige Sicherheitsaudits durchzuführen und IT-Sicherheitsvorfälle an die öffentlichen Behörden zu melden. Betroffen wären Unternehmen in den Branchen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Bundesregierung plant mit dem Entwurf, Unternehmen zweierlei Maßnahmen aufzuerlegen. Zum einen sollen die regelmäßigen Sicherheitsaudits Unternehmen dazu verpflichten, Anforderungen an ihr Krisenmanagement zu definieren, sie zu implementieren und die getroffenen Maßnahmen immer wieder zu überprüfen. Zum anderen sollen Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gemeldet werden. Ab wann es sich um einen Sicherheitsvorfall handelt – ob ein Schadensfall eintreten muss oder bereits ein versuchter Angriff zugehörig zählt – bleibt derzeit noch der Ausgestaltung durch den Gesetzgeber überlassen.

Aus Sicht von mod IT Services sollte weiterhin die Frage der Zusammenarbeit der beteiligten Behörden, auch auf europäischer und internationaler Ebene, im Vorfeld geklärt werden. Denn, und das ist mir wichtig zu betonen: Angriffe über das Internet auf Energieversoger, Börsen und Finanzsysteme machen nicht vor Landesgrenzen halt.

Das Bundesinnenministerium hat ein Online-Dossier zum Thema Cyber-Sicherheit erstellt. Dort finden sich der erste Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme sowie die Eckpunkte des IT-Sicherheitsgesetzes. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Safe Harbor wird zum EU US Privacy Shield weiterlesen
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu weiterlesen
On Premise war gestern – das neue Arbeiten in der Cloud weiterlesen
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen weiterlesen

AKTUELLE ARTIKEL

Sebastian Brabetz von mod IT mit seinem neuen Buch über Pentesting mit Mimikatz

Praxishandbuch Pentesting mit Mimikatz

Wer wissen will, ob die eigene IT-Infrastruktur sicher ist, muss sie auf ihre Angreifbarkeit testen. Wo sind mögliche Schwachstellen? Mit welchen Techniken könnte ins Netzwerk eingedrungen werden? Unternehmen sollten Hackern zuvorkommen und potenzielle Angriffspunkte präventiv […]

weiterlesen
In 5 Schritten zum erfolgreichen Windows 10 Rollout weiterlesen
IT Consultant – IT-Servicemanagement (ITSM) Matrix42® weiterlesen
Gekommen, um zu bleiben: Ausbildungsabschluss 2019 bei mod IT weiterlesen