zurück Blog
mod IT Blog Drei Fragen zum IT-Sicherheitsgesetz

Drei Fragen zum IT-Sicherheitsgesetz

Noch immer ist es nicht vollständig ausdefiniert und Angaben zu konkreten Maßnahmen lässt es ganz vermissen: das IT-Sicherheitsgesetz. Trotzdem sollten sich Betreiber Kritischer Infrastrukturen intensiv mit dem Thema beschäftigen. Denn eine kleine Panne genügt, um eine Kettenreaktion mit einschneidenden Folgen für die auszulösen, die von eben jenen Kritischen Infrastrukturen abhängig sind. Doch nicht nur die Kritis-Betreiber sind gefragt. Wie eine gesetzliche Vorlage zum Wegweiser für systematische IT-Sicherheit werden kann, möchte ich anhand von drei Fragen beleuchten, die so oder so ähnlich in unseren Gesprächen mit den unseren Kunden immer wieder auftauchen.

Das IT-Sicherheitsgesetz bleibt einigermaßen vage: Nach und nach nur werden die einzelnen Verordnungen erlassen, konkrete Maßnahmen benennt es nicht und es spricht von der Gefahrenabwehr mit Mitteln entsprechend dem „Stand der Technik“. Wie nützlich ist das Gesetz in der täglichen Praxis?

Für die Einen – nämlich die Betreiber Kritischer Infrastrukturen – ist das IT-Sicherheitsgesetz ab Mai 2018 rechtlich bindend. Das bedeutet, wer es nicht einhält, kann strafrechtlich mit Bußgeldern belangt werden. Wer per Definition zu diesen Betreibern gehört, legt die sogenannte Kritis-Verordnung anhand von Schwellenwerten fest. Für die Anderen – Unternehmen, die diese nicht erfüllen und für die deshalb rein rechtlich gesehen das IT-Sicherheitsgesetz nicht gilt – können die Vorgaben eine gute Leitlinie sein, um ihre IT-Sicherheit neu zu bewerten. Niemand sollte das Gesetz nur als eine Auflage für wenige bestimmte Unternehmen sehen, die jetzt auch noch erfüllt werden muss. Es geht um viel mehr: Es geht um das Bewusstsein für eine umfassende IT-Sicherheit, die über die rein technische Absicherung der IT-Infrastruktur hinausgeht. Allein die Diskussion, die das IT-Sicherheitsgesetz ausgelöst hat und die dafür sorgt, dass sich Unternehmen nun ganzheitlich mit dem Thema IT-Sicherheit beschäftigen, ist sehr wertvoll.

Kaum ein Unternehmen muss heute noch davon überzeugt werden, sich um seine IT-Sicherheit zu kümmern. Warum ist das IT-Sicherheitsgesetz trotzdem sinnvoll?

Es stimmt, dass in nahezu allen Unternehmen, die sich mehr oder weniger auf ihre IT-Infrastruktur verlassen können müssen, IT-Sicherheit ein wichtiges Thema ist. Oft wird jedoch nur punktuell abgesichert: mit einer Firewall etwa. Das ist ein guter Anfang, aber viel zu wenig, um wirklich gewappnet zu sein. Nur in wenigen Unternehmen wird IT-Sicherheit ganzheitlich betrachtet: Das heißt, regelmäßige Sicherheitsaudits oder definierte Prozesse für den IT-Krisenfall sind eine Seltenheit. Weil IT-Pannen bei Betreibern Kritischer Infrastrukturen Folgen für die Grundversorgung der Bevölkerung haben können – vom Stromausfall bis zur fehlenden medizinischen Versorgung –, verpflichtet der Gesetzgeber diese nun, entsprechende Präventiv-Maßnahmen zu ergreifen. Mögen die Folgen solcher Vorfälle bei „normalen“ Unternehmen auch weniger weitreichend sein, ein IT-Sicherheitsproblem kann bedeutende finanzielle Verluste und hohen Imageschaden nach sich ziehen. Was ich damit sagen will: Das IT-Sicherheitsgesetz bildet mit all seinen Verweisen auf ISO-Normen oder das IT-Grundschutz-Regelwerk eine wertvolle Grundlage, an der man sich bei der Konzeption der eigenen IT-Sicherheitsstrategie entlanghangeln kann.

Wie sieht ein umfassendes IT-Sicherheitskonzept aus?

Die Basis bilden etablierte technische Maßnahmen, von der Firewall bis hin zum Patch- und Update-Management. Darüber hinaus braucht IT-Sicherheit ein umfassendes Schwachstellen-Management: eine Vorab-Analyse des Gefahren-Potenzials und möglicher Folgen, die Definition entsprechender Prozesse mit Zuständigkeiten und konkreten Maßnahmen, die Einbeziehung der Fachabteilungen und aller Management-Ebenen. Nicht zuletzt spielt auch die Sensibilisierung aller Mitarbeiter eine zentrale Rolle, denn nicht jede Lücke kann geschlossen werden, die richtige Reaktion kann aber die Folgen minimieren. Was zunächst nach Mehraufwand klingt, zahlt sich bald aus: Denn ein sinnvoll aufgesetztes Schwachstellen-Management erhöht die IT-Sicherheit nachhaltig – ganz egal, ob man Betreiber einer sogenannten Kritischen Infrastruktur ist oder nicht.

 

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

On Premise war gestern – das neue Arbeiten in der Cloud mehr
In den Unternehmen ist Blackberry wieder eine Macht mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr

AKTUELLE ARTIKEL

Fröhliche Weihnachten und ein gutes neues Jahr!

Wir wünschen Ihnen und Ihren Familien an Weihnachten viel Freude und Spaß in angenehmer und entspannter Atmosphäre sowie einen guten Rutsch in ein erfolgreiches Jahr 2016. In diesem Jahr hat unsere Gesellschaft besonders die Flüchtlingskrise […]

mehr
Licht im Dunkel der Schatten-IT – Ein Kommentar zu Gartners Top 10 Security Technology 2014 mehr
Philipp Boos auf Fachtagung Mobile Device Management mehr
mod IT Services Tech-Day mit Dell und CONTECHNET im Mai mehr
Fachkenntnisse und Soft Skills mehr