COMPAREX AG
IT-Sicherheitsgesetz Fakten

IT-Sicherheitsgesetz – und nun?

Das IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Ziel ist es, den Schutz kritischer Infrastrukturen zu gewährleisten und damit das Sicherheitsniveau in Deutschland maßgeblich anzuheben. Was sich mit diesem Gesetz alles ändert, wer davon betroffen ist und welche Handlungspflichten daraus für Unternehmen entstehen, erfahren Sie in diesem Blogbeitrag.

Zu Beginn meines Blogs möchte ich eine Frage stellen: Was verstehen Sie unter Sicherheit und wann ist man sicher? Wikipedia schreibt, dass Sicherheit einen Zustand bezeichnet, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Ich habe mehrere Personen befragt und dabei immer wieder unterschiedliche Antworten erhalten. Der eine fühlt sich sicher, wenn er sich frei bewegen kann, der andere wiederum, wenn er für jede Lebenslage eine Versicherung abgeschlossen hat. Fakt ist, Sicherheit ist ein subjektives Gefühl, da man aus der eigenen Beurteilung zwei folgende Hauptfaktoren abwägt:

  1. Wie wahrscheinlich ist es, dass ein Schaden eintritt?

  2. Wie sehr werde ich dadurch benachteiligt?

Ein Beispiel: Ein Skianfänger und ein Profi stehen auf dem Hang der schwarzen Piste. Der Anfänger hat einen Helm auf, alle marktüblichen Protektoren am Körper und fühlt sich einigermaßen sicher. Er ist schon oft auf dem „Idiotenhügel“ gestürzt und weiß daher, dass es ziemlich weh tun kann und hat bereits einige blaue Flecken davongetragen. Der Profi hat lediglich den Helm auf und fühlt sich auch sicher, denn er stürzt eher selten bis nie. Falls es doch einmal passieren sollte, dann hat er gelernt so zu fallen, dass es nicht weh tut. Für ihn ist die Wahrscheinlichkeit eines Schadens also sehr gering.

Dieses Beispiel kann man auch wunderbar auf Unternehmen ummünzen. Haben Sie sich bereits gefragt, wie wahrscheinlich es ist, dass ein Schaden eintritt und wie groß dieser sein kann? Was passiert, wenn z.B. sensible Mitarbeiterdaten, geheime Baupläne, Patientendaten oder ähnliches nach außen getragen werden? Sind Sie sich darüber bewusst, wie viel es kosten wird, wenn Ihr Unternehmen für einen Tag stillsteht? Was passiert, wenn bei einem Ausfall Versorgungsengpässe oder Störungen der öffentlichen Sicherheit eintreten würden? Dann gehören Sie vermutlich zu den sogenannten kritischen Infrastrukturen (KRITIS). Zum Schutz dieser KRITIS-Sektoren hat die Bundesregierung am 25.07.2015 das IT-Sicherheitsgesetz verabschiedet.

Folgende KRITIS-Sektoren sind hiervon betroffen:

  • Energie
  • Gesundheit
  • Wasser
  • Ernährung
  • Transport & Verkehr
  • Finanz- und Versicherungswesen
  • Informationstechnik & Telekommunikation
  • Kultur & Medien

Zusätzlich zu den KRITIS-Sektoren fallen ebenfalls Bundesbehörden unter das IT Sicherheitsgesetz.

Was bedeutet das IT-Sicherheitsgesetz für Ihr Unternehmen?

Für Energieversorger gibt es bereits einen IT-Sicherheitskatalog, der zusammengefasst folgende Pflichten bestimmt:

  1. Bis 30.11.2015 muss ein IT-Sicherheitsbeauftragter 24/7 (extern oder intern) mit entsprechenden Qualifikationen für das Unternehmen benannt werden

  2. Bis 31.01.2018 muss ein ISMS (Information Security Management System) eingeführt werden um Risiken zu bewerten, zu vermeiden & entsprechende Maßnahmen daraus abzuleiten (z. Bsp.: ISO 2700/1) Hierfür muss zusätzlich nach zwei Jahren ein Nachweis im Rahmen eines Audits erbracht werden und an das BSI gemeldet werden. Unterstützung bietet Ihnen dabei u.a. die Control Compliance Suite von Symantec.

  3. Meldepflicht bei Cyberattacken an das BSI

Für alle anderen KRITIS-Sektoren muss zunächst geprüft werden, ob sie überhaupt unter das Gesetz fallen. Falls ja, muss auch hier sechs Monate nach Inkrafttreten des Gesetzes ein IT-Sicherheitsbeauftragter benannt werden, der 24/7 zur Verfügung steht. Außerdem sind Sie verpflichtet, alle Cyberattacken an das BSI zu melden. Es ist allerdings jetzt schon bekannt, dass es für die betreffenden Unternehmen künftig auch einen IT-Sicherheitskatalog geben wird, der sich stark an den bereits existierenden anlehnt. Auch hier wird es unerlässlich sein ein ISMS einzuführen.

Neben dem täglichen Arbeitsaufkommen ist es sehr sportlich und kaum umsetzbar, allen Anforderungen in zwei Jahren nachzukommen. Doch was erwartet mich, wenn ich gegen das Gesetz verstoße? Man spricht hier von Bußgeldern zwischen 50.000€ und 100.000€. Allerdings ist der Schadensersatz noch nicht mit inbegriffen. Dieser ist unbegrenzt.

Jetzt sollten Sie aber nicht verzweifeln und sich im ersten Schritt Gedanken machen, was Sie tatsächlich benötigen. Sie müssen sich nicht mit allen Sicherheitslösungen ausstatten, die der Markt bietet. Stellen Sie sich die Frage. Wo liegen meine Daten? Wie wichtig sind diese und habe ich Topsecret-Daten?

Ich empfehle folgende Schritte:

  1. Fangen Sie bei den Basics an. Kommunizieren Ihre PC’s im Netzwerk miteinander? Dann fangen Sie an diese zu segmentieren, um keine „Laola“-Welle auszulösen. Oder schauen Sie sich Ihre Passwort-Policy mal etwas genauer an. 12 Zeichen und nach drei Monaten muss der User sein Kennwort ändern? Klingt super, bringt aber nichts, wenn das Passwort auf einem Post-it unter der Schreibtischunterlage versteckt wird. Schauen Sie sich doch mal nach alternativen Sicherheitslösungen um, wie Fingerprint, Iris-Scan oder Symantec VIP-Produkte.

  2. Finden Sie Lösungen, die zu Ihrer IT-Infrastruktur passen. Beispielsweise geeignete Verschlüsselungslösungen, die in Verbindung mit dem IT-Sicherheitsgesetz immer wieder auftauchen (Symantec PGP Encryption oder ähnliches)

  3. Planen Sie im Voraus. Sprechen Sie mit Ihrer Geschäftsleitung und gehen Notfall-Szenarien durch. Daraus schließen Sie, was wirklich benötigt wird.

  4. Beschaffen & implementieren Sie Ihre Sicherheitslösungen.

Schützen Sie Ihr Unternehmen jetzt nach den Richtlinien des IT-Sicherheitsgesetztes. Die Experten von COMPAREX beantworten gerne Ihre Fragen.

Jetzt informieren

Lesen Sie dazu auch folgende Artikel: Das IT-Sicherheitsgesetz – Fingerzeig oder Schutz vor dem totalen Blackout? und IT-Sicherheit in unternehmen – Von der Theorie zur zertifizierten Praxis

Diesen Artikel teilen

Artikel vom:
07.12.2015

geschrieben von:

TAGS:
IT-Security, IT-Sicherheit

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben