zurück Blog

Und jetzt alle! – Ein neuer Entwurf für das IT-Sicherheitsgesetz liegt vor

Als ich diese Woche gebeten wurde, doch einen kurzen Blog-Beitrag zu den neuesten Entwicklungen rund um das IT-Sicherheitsgesetz zu schreiben, musste ich schon ein bisschen recherchieren. Was ist denn überhaupt neu? Im März und April hatte ich erst gebloggt, den letzten Stand zum geplanten Gesetz zusammengefasst und dargestellt, wie sich Unternehmen auf die kommenden Regularien vorbereiten können. Seit dem 18. August 2014 steht nun ein neuer Referentenentwurf des Bundesinnenministeriums im Raum – nachdem beim letzten Anlauf im Frühjahr 2013 die Wirtschaft große Bedenken äußerte und anschließend die Sommerpause und Bundestagswahl das Vorhaben auf Eis legten.

Was ist neu am neuen Entwurf?

Wir klamüsern nun auseinander, was dieser zweite Entwurf für den Mittelstand bedeutet. Aus meiner Sicht ist das im Wesentlichen die stärkere Einbeziehung der Wirtschaft selbst, insbesondere der Betreiber von kritischen Infrastrukturen in Deutschland. Hierzu zählen unter anderem Energie- und Telekommunikationsunternehmen, Banken, Versicherungen, Krankenhäuser und auch Wasserversorger. Denn diese werden nun aufgefordert, innerhalb von zwei Jahren eigene IT-Sicherheitsstandards für ihre Branche zu entwickeln, die dann mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt werden. Die Unternehmen sind die Praktiker, sie müssen die Standards schließlich umsetzen, sie geben ihre eigene wertvolle Erfahrung in den Erarbeitungsprozess hinein. Doch bis 2017 fließt noch einiges Wasser die Elbe hinab.

Alle für uns wesentlichen Regelungen des Gesetzentwurfs fasse ich Ihnen kurz im Überblick zusammen:

  • Betreiber Kritischer Infrastrukturen werden verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene organisatorische, technische Vorkehrungen und sonstige Maßnahmen zum Schutz der IT-Systeme und -Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
  • Die Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen.
  • Zur Überprüfung der umgesetzten Maßnahmen haben die Betreiber mindestens alle zwei Jahre die Erfüllung der Anforderungen nachzuweisen. Dafür übermitteln sie dem BSI eine Aufstellung der zu diesem Zweck durchgeführten Sicherheitsaudits, Prüfungen oder Zertifikate einschließlich der dabei aufgedeckten Sicherheitsmängel.
  • Dem BSI sind binnen sechs Monate nach Inkrafttreten der Verordnung Warn- und Alarmierungskontakte zu benennen. Der Betreiber hat sicherzustellen, dass er über sie jederzeit erreichbar ist.
  • Die Warn- und Alarmierungskontakte müssten Beeinträchtigungen der IT-Systeme, -Komponenten und -Prozesse unverzüglich an das BSI melden. Sie können dies anonym tun, solange kein Ausfall oder eine Störung der Kritischen Infrastruktur vorliegt. Im letzten Fall ist die Nennung des Betreibers erforderlich.

Vier Jahre – eine Ewigkeit in der IT- und Internetwirtschaft

Wenn wir diesen Prozess ganz nüchtern betrachten, geht hier ein Haufen Zeit ins Land, bevor Deutschland den ersten Schritt macht, IT-Sicherheit wirklich als eine feste, standardisierte Größe im Wirtschaftsleben zu etablieren. Vier Jahre! Vom ersten Entwurf im letzten Jahr bis heute sind eineinhalb Jahre vergangen, hinzu kommen zwei Jahre, in denen die Branchen eigene Standards entwickeln, dann noch einmal die Zeit zur Festlegung der Standards durch das BSI. Innenminister Thomas de Maizière hat ein hehres Ziel: Er will Deutschlands IT-Systeme zu den sichersten der Welt machen. Doch was passiert nicht alles in vier Jahren in der IT?

Das geplante Gesetz ist ein Schritt in die richtige Richtung. Die Gefahren durch Cyber-Spionage und -Angriffe, Hacktivism und Datendiebstahl wurden bisher von der Öffentlichkeit noch zu oft ins Reich der Science-Fiction geschoben. Es gibt keine Fotos vom „Schlachtfeld“, keine Bewegtbilder, keine Augenzeugenberichte. Fraglich ist, ob die Bestimmungen im Gesetzentwurf ausreichend sind. In jedem Fall ist es empfehlenswert, dass Unternehmen selbstständig schon heute den größtmöglichen Schutz ihrer Systeme und Daten aufbauen sollten.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

So gestalten Sie die Rollout-Logistik erfolgreich mehr
Safe Harbor wird zum EU US Privacy Shield mehr
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan mehr
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten mehr

AKTUELLE ARTIKEL

IT-ServiceDesk Agent

IT-ServiceDesk Agent m/w

Wir suchen ab sofort und unbefristet für unseren Standort in Einbeck einen IT-ServiceDesk Agent m/w. Ihr Schwerpunkt: IT Service / IT Administration First- und Second-Level-Support   Ihr Job: Im Single Point of Contact 1st- und […]

mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr