COMPAREX AG
IT-Sicherheitsgesetz Strategie

Das IT-Sicherheitsgesetz – Fingerzeig oder Schutz vor dem totalen Blackout?

Die Bundesregierung befürchtet, dass es aufgrund grober Sicherheitsdefizite schlimmstenfalls zu Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit bis hin zu Blackouts in Deutschland kommen könnte: – Kein Wasser – Stromausfall – totale Dunkelheit…? Wie das IT-Sicherheitsgesetz helfen soll und warum es Sie auch betreffen könnte.

Ein Beitrag der COMPAREX Redaktion.

Inhaltsübersicht

  1. Wie wichtig ist das IT-Sicherheitsgesetz wirklich?
  2. Was ist zutun? Checkliste für Schulungen

Wie wichtig ist das IT-Sicherheitsgesetz wirklich? Welche Pflichten haben Sie ab sofort?

Was tun Sie, wenn Sie bemerken, dass in Ihre Wohnung eingebrochen und Ihre Wertsachen entwendet wurden? Sie melden es der Polizei in der Hoffnung, der Dieb wird gefasst. Zusätzlich lassen Sie eine sündhaft teure, hochsichere Schließanlage einbauen, verstauen Ihr Hab und Gut an noch sicheren Orten Ihrer Wohnung und ermahnen Ihre Tochter, achtsamer bei der Verbreitung der Urlaubsinformationen – und somit dem Hinweis auf die 2-Wochen leerstehende Wohnung – im Social Media vorzugehen.

Und dann der Schock! Der Feind kam durch die Belüftungsanlage gekrochen ohne die leisesten Vorzeichen und ohne, dass Sie dieses Schlupfloch überhaupt jemals auf dem Schirm hatten…

An einem Strang für deutschlandweite Datensicherheit

IT-Sicherheitsgesetzt - Aufkommen von Cyberattacken
Abb. 1: Aufkommen von Cyberattacken Quelle: Die Welt

Verheerender wird die Situation, wenn es um Datensicherheit und Angriffe aus dem Internet geht. Die Bundesregierung befürchtet sogar, dass es aufgrund grober Sicherheitsdefizite schlimmstenfalls zu Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit bis hin zu Blackouts in Deutschland kommen könnte: kein Wasser, Stromausfall, totale Dunkelheit…

Jetzt nicht in Panik ausbrechen - hier zählt der Konjunktiv!

Um dieses hollywoodreife Szenario zu verhindern und vor allem die deutschlandweite Datensicherheit zu gewährleisten, hat der Bundestag im Juli das lang diskutierte IT-Sicherheitsgesetz verabschiedet.

Dieses gilt als wesentlicher Bestandteil der Digitalen Agenda der Bundesregierung und nimmt künftig Betreiber kritischer Infrastrukturen in die Verpflichtung, mögliche oder bereits geschehene Störungen, Datenpannen und Angriffe aus dem Netz innerhalb der IT Infrastruktur an das Bundesamt zu melden.

Unter kritischen Infrastrukturen versteht man Unternehmen aus den Bereichen Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Energie, Ernährung sowie aus dem Finanz- und Versicherungswesen – also Funktionäre des Gemeinwesens, die zukünftig die Mindeststandards zum IT-Schutz einzuhalten haben. Sonst könnte es leider teuer werden. Tatsächlich können Verstöße gegen Teile des IT-Sicherheitsgesetzes als Ordnungswidrigkeiten mit Bußgeldern bis zu 100.000 Euro geahndet werden. Damit nimmt die Bundesregierung Landes- und Bundesbehörden aber auch die Wirtschaft in die Verpflichtung, nachhaltigen IT-Schutz zu gewährleisten.

Gut, dass wir nun ein IT-Sicherheitsgesetz haben. Mit den Standing Ovations allerdings sollte man sich vorerst zurückhalten, denn das Gesetz schützt uns nicht automatisch vor Cyber-Attacken. Wir müssen selber etwas tun! Auch das noch.

IT-Sicherheitsgesetz: Cyberkriminalität Vorkommnisse
IT-Sicherheitsgesetz: Cyberkriminalität Vorkommnisse Quelle: Die Welt

Aber: bedenkt man, dass laut Schätzungen des Bundeskriminalamts zufolge täglich 30.000 Cyberattacken auf deutsche Unternehmen stattfinden und Deutschlands Volkswirtschaft weltweit die Statistik durch Cyberkriminalität anführt (vor den USA!), ist es vielleicht an der Zeit umzudenken.

Das Deutsche Forschungszentrum (DFN) bestätigte erst im Februar diesen Jahres, dass zahlreiche deutsche Industrieanlagen unzureichend geschützt und leicht angreifbar sind.

Wer nun denkt, dass mit dem nackten Finger der IT-Sicherheitsgerechtigkeit auf ihn und sein Unternehmen gezeigt wird, er die geheime Zutat seiner Security-Strategie preisgeben oder einen peinlichen Imageschaden befürchten muss, der kann an dieser Stelle beruhigt werden. Denn den Unternehmen wird es zukünftig möglich sein, sich anonym beim BSI zu melden. Die Zusammentragung sicherheitsrelevanter Schwachstellen hingegen bleibt und somit profitieren wir und ganz Deutschland von den Informationen aller. Die vom Bundestag angekündigte und daraus resultierende wissenschaftliche Evaluation nach vier Jahren wird´s zeigen.

Sie gehören nicht zu Risiko-Unternehmen!

  • Wie sicher sind Sie sich damit?
  • Wie nachhaltig sind Ihre IT-Sicherheitsstrukturen?

Für die Sicherheit der Back-End-Systeme wie Server, Storage und Netzwerktechnik wird jedes Jahr viel investiert. Aber wie gestaltet sich das Sicherheitsdenken der Userinnen und User, die vor den Bildschirmen sitzen?

Das Sicherheitsdenken muss in den Köpfen der IT-Verantwortlichen und der Nutzer gleichermaßen verankert sein

Frei nach dem Motto „die Kette ist nur so stark wie das schwächste Glied“. Es wird immer noch zu wenig für die Schulung und Sensibilisierung auf Seiten der Nutzer investiert. Mit der Implementierung von IT-Sicherheitsbeauftragten und Spezialisten sowie der Einführung standardisierter Sicherheitsnormen (z.B. ISO 270001) werden wichtige Meilensteine gesetzt.

Die entsprechenden Unternehmen und Behörden „kritischer Infrastrukturen“ haben nun 2 Jahre Zeit, Sicherheitsmaßnahmen zu ergreifen, wie z.B. IT Notfallpläne zu erstellen und Fachpersonal auszubilden. Ein knappbemessener Zeitkorridor, bedenkt man, dass die Cyberattacken immer raffinierter, maßgeschneiderter und die Abstände der Angriffe immer kürzer werden.

Zeit zu (re-)agieren!

„Jeder ist potentiell bedroht – jeder Staat, jedes Unternehmen und auch jeder Bürger. Unternehmen wie die Deutsche Telekom sind deshalb in einer wachsenden gesellschaftspolitischen Verantwortung, die Zusammenarbeit in diesem Feld zu unterstützen und zu verbessern. […]“  Telekom-Chef Timotheus Höttges / Interview Frankfurter Allgemeine

Empfehlenswert: Nur aus dem Zusammenspiel von zielgruppenorientierten Anwenderschulungen die auf den täglichen Workflow abgestimmt sind und einem effizienten Sicherheitskonzept kann bestmöglicher Schutz gewährleistet werden. Dabei ist wichtig, dass Beratung und Schulung exakt auf die jeweiligen Firmen oder Behördenstrukturen abgestimmt sind.

„Das neue Gesetz zur IT-Sicherheit ist in Kraft. Gesetzlich gefordert wird von jeder Dienststelle und jedem sicherheitsrelevanten Unternehmen die Benennung eines fachlich qualifizierten
IT-Sicherheitsbeauftragten. Qualifikation ist hier das Stichwort. Nach welchem Leitfaden können Organisationen geeignete Mitarbeiter so qualifizieren, dass sie die gesetzlichen Anforderungen erfüllen? Ohne dabei weder wirtschaftliche, noch eben die wichtigen Aspekte der Sicherheit außer Acht zu lassen?“ Angelika Pieta, COMPAREX Akademie-Managerin

Was ist nun zu tun?

Checkliste für die Schulung von Sicherheitsbeauftragten für Unternehmen und Behörden

Bitte keinen Schnellschuss. Erst einmal in Ruhe den Markt für Schulungen sondieren. Unternehmen und Behörden sind gleichermaßen gut beraten, wenn sie bei der Auswahl ihres letztendlichen
Dienstleisters nach der folgenden Checkliste vorgehen:

  1. Werden Schulungen jeden Levels angeboten? Also von den Awareness Schulungen, die im Prinzip alle Mitarbeiter eines Unternehmens betreffen, die einen PC haben, bis hin zu
    Zertifizierungsschulungen mit Prädikaten wie denen vom TÜV?
  2. Sind folgende Themen in den Schulungen abgedeckt?
    • IT – Forensik: Aufnahme von IT-Sachverhalten (rechtssicher zur Verwendung vor Gericht)
    • IT – Sicherheit für Manager/Vorgesetzte/IT Verantwortliche (meist rudimentäre, ausgewählte Inhalte)
    • IT – Forensik für Einsteiger und Profis
    • Moderne Gefährdungen durch die IT, auch Mobile Devices
    • Geotagging, soziale Netzwerke, Bilderkennung, Social Engineering
    • IT –Security – Awareness. Schaffung von Sicherheitsbewusstsein nach Zielgruppen, wie etwa der Führungsebene, den Multiplikatoren und den zu zertifizierende Spezialisten.
  3. Welche Standards sind bei den Kursen definiert? Handelt es sich um offene Trainings oder wird auch Inhouse angeboten, wenn der Kunde mehrere Personen zu schulen hat?
  4. Werden nachgeordnete Schulungsverläufe angeboten, wie z. B: Ministerien und die nachgeordneten Behörden oder Bundespolizei und nachgeordnete Behörden oder Justizministerien und nachgeordnete Behörden?
  5. Werden Aus- und Weiterbildungskonzepte für Unternehmen und Öffentlichen Dienst auf Basis eines Konzept-Workshops angeboten?
  6. Ist der Anbieter Mitglied in der Allianz für Cyber-Sicherheit vom BSI?

Was Kunden eigentlich immer sehr interessant finden, sind Weiterbildungskonzepte mit modularem Charakter, die speziell auf ihre Zielgruppen zugeschnitten sind. Bei uns etwa hat sich in zwanzig Jahren Akademiebetrieb gezeigt, dass wir als Anbieter ausgewählt wurden, weil die sichere Einhaltung der Ergebnisstandards dennoch flexibel ermöglicht werden konnte. Mein Tipp: Lassen Sie sich anhand der Checkliste ein maßgeschneidertes Angebot unterbereiten.“
Angelika Pieta, Akademieleiterin COMPAREX Akademie.

IT-Sicherheitsgesetz - prüfen Sie Ihre SicherheitsstrategieAls anerkannter Schulungspartner berät Sie die COMPAREX Akademie gern zu Ihrer persönlichen Sicherheitsstrategie und stellt Ihnen in Kooperation mit der Cyber Akademie ein umfangreiches Angebot an Schulungen, Zertifizierungsseminaren, Informationsveranstaltungen und Dienstleistungen für IT-Sicherheit und Datenschutz für Sie bereit.

Besuchen Sie unsere Website oder blättern Sie in unserer Kursbroschüre zum Thema „Datenschutz & Security“.


Ihr Ansprechpartner

COMPAREX AG

Angelika Pieta
Manager COMPAREX Akademie

Blochstraße 1
D-04329 Leipzig
Deutschland

+49 341 2568 586
+49 341 2568 891

Angelika Pieta

Diesen Artikel teilen

Artikel vom:
27.08.2015

geschrieben von:

TAGS:
IT-Security, IT-Sicherheitsgesetz, Schulungen

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben