mod IT Blog Drei Fragen zum IT-Sicherheitsgesetz

23. Mai 2017

Drei Fragen zum IT-Sicherheitsgesetz

Noch immer ist es nicht vollständig ausdefiniert und Angaben zu konkreten Maßnahmen lässt es ganz vermissen: das IT-Sicherheitsgesetz. Trotzdem sollten sich Betreiber Kritischer Infrastrukturen intensiv mit dem Thema beschäftigen. Denn eine kleine Panne genügt, um eine Kettenreaktion mit einschneidenden Folgen für die auszulösen, die von eben jenen Kritischen Infrastrukturen abhängig sind. Doch nicht nur die Kritis-Betreiber sind gefragt. Wie eine gesetzliche Vorlage zum Wegweiser für systematische IT-Sicherheit werden kann, möchte ich anhand von drei Fragen beleuchten, die so oder so ähnlich in unseren Gesprächen mit den unseren Kunden immer wieder auftauchen.

Das IT-Sicherheitsgesetz bleibt einigermaßen vage: Nach und nach nur werden die einzelnen Verordnungen erlassen, konkrete Maßnahmen benennt es nicht und es spricht von der Gefahrenabwehr mit Mitteln entsprechend dem „Stand der Technik“. Wie nützlich ist das Gesetz in der täglichen Praxis?

Für die Einen – nämlich die Betreiber Kritischer Infrastrukturen – ist das IT-Sicherheitsgesetz ab Mai 2018 rechtlich bindend. Das bedeutet, wer es nicht einhält, kann strafrechtlich mit Bußgeldern belangt werden. Wer per Definition zu diesen Betreibern gehört, legt die sogenannte Kritis-Verordnung anhand von Schwellenwerten fest. Für die Anderen – Unternehmen, die diese nicht erfüllen und für die deshalb rein rechtlich gesehen das IT-Sicherheitsgesetz nicht gilt – können die Vorgaben eine gute Leitlinie sein, um ihre IT-Sicherheit neu zu bewerten. Niemand sollte das Gesetz nur als eine Auflage für wenige bestimmte Unternehmen sehen, die jetzt auch noch erfüllt werden muss. Es geht um viel mehr: Es geht um das Bewusstsein für eine umfassende IT-Sicherheit, die über die rein technische Absicherung der IT-Infrastruktur hinausgeht. Allein die Diskussion, die das IT-Sicherheitsgesetz ausgelöst hat und die dafür sorgt, dass sich Unternehmen nun ganzheitlich mit dem Thema IT-Sicherheit beschäftigen, ist sehr wertvoll.

Kaum ein Unternehmen muss heute noch davon überzeugt werden, sich um seine IT-Sicherheit zu kümmern. Warum ist das IT-Sicherheitsgesetz trotzdem sinnvoll?

Es stimmt, dass in nahezu allen Unternehmen, die sich mehr oder weniger auf ihre IT-Infrastruktur verlassen können müssen, IT-Sicherheit ein wichtiges Thema ist. Oft wird jedoch nur punktuell abgesichert: mit einer Firewall etwa. Das ist ein guter Anfang, aber viel zu wenig, um wirklich gewappnet zu sein. Nur in wenigen Unternehmen wird IT-Sicherheit ganzheitlich betrachtet: Das heißt, regelmäßige Sicherheitsaudits oder definierte Prozesse für den IT-Krisenfall sind eine Seltenheit. Weil IT-Pannen bei Betreibern Kritischer Infrastrukturen Folgen für die Grundversorgung der Bevölkerung haben können – vom Stromausfall bis zur fehlenden medizinischen Versorgung –, verpflichtet der Gesetzgeber diese nun, entsprechende Präventiv-Maßnahmen zu ergreifen. Mögen die Folgen solcher Vorfälle bei „normalen“ Unternehmen auch weniger weitreichend sein, ein IT-Sicherheitsproblem kann bedeutende finanzielle Verluste und hohen Imageschaden nach sich ziehen. Was ich damit sagen will: Das IT-Sicherheitsgesetz bildet mit all seinen Verweisen auf ISO-Normen oder das IT-Grundschutz-Regelwerk eine wertvolle Grundlage, an der man sich bei der Konzeption der eigenen IT-Sicherheitsstrategie entlanghangeln kann.

Wie sieht ein umfassendes IT-Sicherheitskonzept aus?

Die Basis bilden etablierte technische Maßnahmen, von der Firewall bis hin zum Patch- und Update-Management. Darüber hinaus braucht IT-Sicherheit ein umfassendes Schwachstellen-Management: eine Vorab-Analyse des Gefahren-Potenzials und möglicher Folgen, die Definition entsprechender Prozesse mit Zuständigkeiten und konkreten Maßnahmen, die Einbeziehung der Fachabteilungen und aller Management-Ebenen. Nicht zuletzt spielt auch die Sensibilisierung aller Mitarbeiter eine zentrale Rolle, denn nicht jede Lücke kann geschlossen werden, die richtige Reaktion kann aber die Folgen minimieren. Was zunächst nach Mehraufwand klingt, zahlt sich bald aus: Denn ein sinnvoll aufgesetztes Schwachstellen-Management erhöht die IT-Sicherheit nachhaltig – ganz egal, ob man Betreiber einer sogenannten Kritischen Infrastruktur ist oder nicht.

 

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Services - Weihnachten 2017

mod wünscht fröhliche Weihnachten

Das Jahr 2017 neigt sich dem Ende zu und wir blicken zurück auf eine spannende Zeit mit herausfordernden Projekten. Ohne die Kunden, die uns ihr Vertrauen schenken, und die Partner an unserer Seite hätte 2017 […]

weiterlesen
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu weiterlesen
Safe Harbor wird zum EU US Privacy Shield weiterlesen

AKTUELLE ARTIKEL

Der Artikel als Bild

Oktober 2019 – IT for Future

Es gibt viele gute Gründe für eine Ausbildung bei mod IT Services. Dazu gehören die familiäre Atmosphäre, eine enge Begleitung während der gesamten Ausbildung und auch die Spezialisierung nach persönlichen Stärken. Und natürlich die guten […]

weiterlesen
Oktober 2019 – Ein Blick hinter die Kulissen von mod IT Services weiterlesen
Pentesting: Die Kunst, Hackern einen Schritt voraus zu sein weiterlesen
Next Generation Anti-Virus-Schutz: Den Angreifern einen Schritt voraus sein weiterlesen