Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Stephan Krischke, BISGEin Kommentar von Stephan Krischke, Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG), über das neue IT-Sicherheitsgesetz im Bundestag, das am 1. Juli 2015 verabschiedet werden soll. Was beinhaltet das neue Gesetz und welche Auswirkungen hat es für Unternehmen, insbesondere für die kleinen Betriebe und den Mittelstand?

Handelt es sich tatsächlich, wie mehrfach von der Regierung angekündigt, um den großen Wurf in Sachen IT-Sicherheit? Der Fokus liegt bei diesem Gesetz auf der Verbesserung der IT-Sicherheit für Unternehmen, die eine kritische Infrastruktur (KRITIS) betreiben. Die Definition einer kritischen Infrastruktur ist noch nicht abschließend erfolgt; sie tangiert aber hauptsächlich Unternehmen, die für die Versorgung der grundlegenden gesellschaftlichen Bedürfnisse zuständig sind: Energie, Geld (Banken), Lebensmittel, Telekommunikation etc. Mit dem 1. Juli beginnt die 18-monatige Umsetzungsphase des Gesetzes und somit die Einstufung der KRITIS-Unternehmen. Der ersten Abschätzung nach werden ca. 2.000 bis 3.000 als KRITIS-Unternehmen definiert.

Das IT-Sicherheitsgesetz wird Einfluss haben auf das Bundesdatenschutz-, das Telekommunikations- und das Telemediengesetz und drei maßgebliche Veränderungen für KRITIS-Unternehmen mit sich bringen:

  1. Die Verpflichtung zum Betrieb eines Information Security Management (ISMS),
  2. eine Zertifizierung mindestens nach ISO 27001 ff.,
  3. die Meldepflicht von Sicherheitsvorfällen.

Seit 2008 wird in unterschiedlichen Arbeitskreisen unter Beteiligung der 40 deutschen Blue Chip-Unternehmen an der Ausgestaltung und Umsetzung gearbeitet, d.h. alle großen Unternehmen sind damit schon seit einiger Zeit beschäftigt und werden vorbereitet sein.

Die „Großen“ werden Anforderungen durchreichen

Wie sieht es aber mit den kleinen Betrieben aus, die beispielsweise als Zulieferer der Großen agieren oder nicht als KRITIS-Unternehmen (trotz kritischer IT-Infrastrukturen) eingestuft werden? Meine Erfahrungen der letzten Monate zeigen, dass die Großen die Anforderungen durchreichen werden. Dann werden selbst nicht betroffene Unternehmen trotzdem zum IT-Sicherheitsmanagement (z.B. per Audit) verpflichtet. Dies wird die Anzahl der generell vom neuen Gesetz betroffenen Unternehmen deutlich erhöhen – anders als ursprünglich gewollt.

CCO: Keine der Maßnahmen ist zielführend

Ist das IT-Sicherheitsgesetz sinnvoll und wird es der große Wurf werden? Der Chaos-Computer-Club (CCC) gab kurz nach der ersten Lesung folgenden Kommentar ab: "Nicht eine einzige der im Gesetzesentwurf vorgeschlagenen Maßnahmen ist zielführend, um die IT-Sicherheit tatsächlich zu erhöhen. Man hat offenbar ein Verständnis von IT-Sicherheit in ein Gesetz gegossen, wonach lediglich durch mehr verpflichtende Dokumentations- und Berichtsregularien und Checklisten in den Unternehmen wirksame Verbesserungen herbeigeführt werden könnten."

Mein Fazit

Die Einhaltung gewisser, der Unternehmensgröße und dem finanziellen Rahmen angepasster IT-Sicherheitsmaßnahmen (wie beispielsweise regelmäßige Datensicherung, angemessener Viren- und Internetschutz, Passwortmanagement, IT-Dokumentation, Umgang mit externen Dienstleistern etc.) sollte für alle Unternehmen verpflichtend sein. Der Fokus liegt dabei auf pragmatischen technischen Lösungen, verbunden mit organisatorischen Schritten, um die Wirksamkeit zu kontrollieren. Dies würde vielen Unternehmen helfen, die IT-Risiken zu minimieren, finanzielle Schäden in Problemsituationen im Griff zu haben und die Abhängigkeit von der IT kontrollierbar zu gestalten. Die Umsetzung solcher grundlegender IT-Maßnahmen würde selbst bei der Einführung neuer Gesetze keine große Aufregung auch innerhalb kleiner Unternehmen erzeugen.

Stephan Krischke, Leiter des Fachbereichs „IT-Sicherheit“ im Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG)

www.bisg-ev.de

GRID LIST
DSGVO Datentunnel

DSGVO wird Treiber für die sichere E-Mail

Die neuen gesetzlichen Datenschutzvorgaben haben die IT- und Business-Entscheider in…
Freelancer

Mit freien IT-Experten Projekte erfolgreich umsetzen

Die Zusammenarbeit mit Freelancern ist eine gute Chance, Digitalisierungsprojekte…
Roboter fährt Auto

Die Autobranche gibt bei KI Gas – und sollte weiter hochschalten

Künstliche Intelligenz (KI) wird unser Leben massiv verändern und sich zu einem der…
IoT Security

Mangelnde IoT-Sicherheit führt zu Verlusten in Unternehmen

In einer globalen Umfrage von DigiCert zum Internet der Dinge (State of IoT Survey 2018)…
Compliance

Compliance ist Haupttreiber von Data Governance

Das Business Application Research Center (BARC) veröffentlicht “How To Rule Your Data…
Machine Learning

Großes Potenzial für Machine Learning in Europa

Cloudera hat eine neue Marktstudie zum Thema „Machine Learning” (ML) vorgestellt. Die…
Smarte News aus der IT-Welt