VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

Stephan Krischke, BISGEin Kommentar von Stephan Krischke, Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG), über das neue IT-Sicherheitsgesetz im Bundestag, das am 1. Juli 2015 verabschiedet werden soll. Was beinhaltet das neue Gesetz und welche Auswirkungen hat es für Unternehmen, insbesondere für die kleinen Betriebe und den Mittelstand?

Handelt es sich tatsächlich, wie mehrfach von der Regierung angekündigt, um den großen Wurf in Sachen IT-Sicherheit? Der Fokus liegt bei diesem Gesetz auf der Verbesserung der IT-Sicherheit für Unternehmen, die eine kritische Infrastruktur (KRITIS) betreiben. Die Definition einer kritischen Infrastruktur ist noch nicht abschließend erfolgt; sie tangiert aber hauptsächlich Unternehmen, die für die Versorgung der grundlegenden gesellschaftlichen Bedürfnisse zuständig sind: Energie, Geld (Banken), Lebensmittel, Telekommunikation etc. Mit dem 1. Juli beginnt die 18-monatige Umsetzungsphase des Gesetzes und somit die Einstufung der KRITIS-Unternehmen. Der ersten Abschätzung nach werden ca. 2.000 bis 3.000 als KRITIS-Unternehmen definiert.

Das IT-Sicherheitsgesetz wird Einfluss haben auf das Bundesdatenschutz-, das Telekommunikations- und das Telemediengesetz und drei maßgebliche Veränderungen für KRITIS-Unternehmen mit sich bringen:

  1. Die Verpflichtung zum Betrieb eines Information Security Management (ISMS),
  2. eine Zertifizierung mindestens nach ISO 27001 ff.,
  3. die Meldepflicht von Sicherheitsvorfällen.

Seit 2008 wird in unterschiedlichen Arbeitskreisen unter Beteiligung der 40 deutschen Blue Chip-Unternehmen an der Ausgestaltung und Umsetzung gearbeitet, d.h. alle großen Unternehmen sind damit schon seit einiger Zeit beschäftigt und werden vorbereitet sein.

Die „Großen“ werden Anforderungen durchreichen

Wie sieht es aber mit den kleinen Betrieben aus, die beispielsweise als Zulieferer der Großen agieren oder nicht als KRITIS-Unternehmen (trotz kritischer IT-Infrastrukturen) eingestuft werden? Meine Erfahrungen der letzten Monate zeigen, dass die Großen die Anforderungen durchreichen werden. Dann werden selbst nicht betroffene Unternehmen trotzdem zum IT-Sicherheitsmanagement (z.B. per Audit) verpflichtet. Dies wird die Anzahl der generell vom neuen Gesetz betroffenen Unternehmen deutlich erhöhen – anders als ursprünglich gewollt.

CCO: Keine der Maßnahmen ist zielführend

Ist das IT-Sicherheitsgesetz sinnvoll und wird es der große Wurf werden? Der Chaos-Computer-Club (CCC) gab kurz nach der ersten Lesung folgenden Kommentar ab: "Nicht eine einzige der im Gesetzesentwurf vorgeschlagenen Maßnahmen ist zielführend, um die IT-Sicherheit tatsächlich zu erhöhen. Man hat offenbar ein Verständnis von IT-Sicherheit in ein Gesetz gegossen, wonach lediglich durch mehr verpflichtende Dokumentations- und Berichtsregularien und Checklisten in den Unternehmen wirksame Verbesserungen herbeigeführt werden könnten."

Mein Fazit

Die Einhaltung gewisser, der Unternehmensgröße und dem finanziellen Rahmen angepasster IT-Sicherheitsmaßnahmen (wie beispielsweise regelmäßige Datensicherung, angemessener Viren- und Internetschutz, Passwortmanagement, IT-Dokumentation, Umgang mit externen Dienstleistern etc.) sollte für alle Unternehmen verpflichtend sein. Der Fokus liegt dabei auf pragmatischen technischen Lösungen, verbunden mit organisatorischen Schritten, um die Wirksamkeit zu kontrollieren. Dies würde vielen Unternehmen helfen, die IT-Risiken zu minimieren, finanzielle Schäden in Problemsituationen im Griff zu haben und die Abhängigkeit von der IT kontrollierbar zu gestalten. Die Umsetzung solcher grundlegender IT-Maßnahmen würde selbst bei der Einführung neuer Gesetze keine große Aufregung auch innerhalb kleiner Unternehmen erzeugen.

Stephan Krischke, Leiter des Fachbereichs „IT-Sicherheit“ im Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG)

www.bisg-ev.de

GRID LIST
IAM Fingerabdruck

KI und IoT kollidieren oftmals mit dem Datenschutz von Kunden

Die von ForgeRock in Auftrag gegebene Studie zeigt: Durch Customer Identity Access…
KI

Deutsche Unternehmen legen mehr Wert auf KI-basiertes Testing

Erstmals nennen IT-Experten die Customer Experience den wichtigsten Faktor zur…
Archiv

Jedes vierte Unternehmen hat noch keine einzige Akte digitalisiert

Weniger aufwändiges Suchen in Hängeregistern, weniger Doppelablagen, weniger…
Tb W190 H80 Crop Int Bbe1757ea0aadbf20dd421615c7de4f3

Datenschutzverletzungen durch Mitarbeiter: Aus Fehlern lernen

Laut einer aktuellen Studie von Kaspersky Lab und B2B International hatten 42 Prozent…
Tb W190 H80 Crop Int 46a1e6039c4b963fe1603383a1adfc0b

Smart-Home-Geräte als neues Ziel von Cryptojacking-Attacken

Fortinet gibt die Ergebnisse seines aktuellen Global Threat Landscape Reports bekannt.…
Digital Concept

Unternehmen setzen verstärkt auf Digitalisierungs-Teams

Unternehmen schaffen verstärkt eigene Abteilungen oder Teams, die sich ausschließlich mit…
Smarte News aus der IT-Welt