Am 25. Juli 2015 wurde das IT-Sicherheitsgesetz verabschiedet (wir berichteten). Ziel dieses Gesetzes war und ist es, den Schutz kritischer Infrastrukturen (KRITIS) zu verbessern. Deren Betreiber sind gefordert, einen Mindeststandard an Informationssicherheit zu gewährleisten.
Ausgangslage dieser Regulierungen war die sich stark zuspitzende Bedrohungslage der letzten Jahre, die im Cyberumfeld zu erkennen ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 fest, dass die Anzahl der Schwachstellen und Verwundbarkeiten in deutschen IT-Systemen weiterhin auf einem sehr hohen Niveau liegt. Die Angriffsmethoden auf unternehmensinterne Informationen zeigen einen immer professionelleren Charakter.
IT-Sicherheitsgesetz – Unterschiedliche Meinungen über den erreichten Stand
Möchte man sich einen Überblick verschaffen, wie sich das Sicherheitsgesetz nach dem ersten Jahr seiner Einführung etabliert hat, erhält man unterschiedliche Auffassungen. Das BSI selbst ist zufrieden, die Industrie und die Verbände sind geteilter Meinung.
Meine persönliche Erfahrung, die ich aus Kundengesprächen und mehreren Security-Veranstaltungen gewonnen habe, ist die, dass sich die meisten Unternehmen immer noch in Warteposition befinden, wenn es um die Umsetzung der Informationssicherheit geht. Das Sicherheitsgesetz ist zwar verabschiedet, doch viele Unternehmen wissen nicht, ob sie davon betroffen sind oder nicht. Erst seit Mai 2016 gibt es eine Rechtsverordnung, die für einen der beiden Sektoren (Energie/ITK/Wasser/Ernährung) verbindliche Festlegungen trifft. Für den Sektor Transport & Verkehr, Gesundheit und Finanzen soll die Rechtsverordnung erst im Frühjahr 2017 verabschiedet werden. Ungeklärt ist im Moment, wenn sich ein Unternehmen beiden Sektoren zugeordnet fühlt (z.B. Transport von Lebensmitteln oder Pharmaprodukten).
Unternehmen in Warteposition, noch viele offene Fragen
Durch viele offene Fragen, die zeitliche Verzögerung der Verordnungen sowie die zeitlichen Vorgaben zur Umsetzung des Gesetzes (Meldestellen, organisatorische und technische Umsetzungen . . .) bestehen für die Unternehmen noch große Unsicherheiten, auch, weil sie die geforderten Investitionen nicht einkalkulieren können und dadurch die Umsetzungsplanungen nicht beginnen können.
Fast beiläufig erwähnt sei auch noch, dass auf europäischer Ebene seit 6. Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union zur IT-Sicherheit (NIS) eingeführt wurde. Oder die neue EU-Datenschutzgrundverordnung (DSGV), die Anfang 2018 verabschiedet wird. Die DGVO, die einerseits die Umsetzung organisatorischer und technischer Maßnahmen für Datenschutz und IT-Sicherheit voraussetzt und andererseits mit sehr hohen Bußgeldern aufwartet, wenn dagegen verstoßen wird.
Aber lösbare Aufgabe, also einfach anfangen
Ja, das nun einjährige IT-Sicherheitsgesetz (als auch das erwähnte NIS und die DSGV) gibt strenge zeitliche, organisatorische und technische Vorgaben und stellt viele Unternehmen immer noch vor neue Herausforderungen. Dennoch, Informationssicherheit stellt eine lösbare Aufgabe dar, die sich in vielen Fällen mit pragmatischen Ansätzen auch mit einem überschaubaren Zeit- und Finanzaufwand umsetzen lässt.
Wichtige Voraussetzung hierfür ist eine professionelle Unterstützung durch Fachkundige, die mit den Methoden der Informations- und IT-Sicherheit vertraut sind und bereits Erfahrung im Aufbau und der Weiterentwicklung von unternehmensweitem Informationssicherheits-Management vorweisen können. Am allerwichtigsten aber ist es, einfach damit anzufangen…
Schreibe einen Kommentar