Anzeige

KRITIS Strommast

Am 30. Juni läuft die Frist für die Umsetzung der ersten Verordnung der Änderung der BSI-Kritisverordnung ab. Was so juristisch daherkommt, hat für die betroffenen Branchen weitreichende Folgen.

Unternehmen, die die Vorschriften nur unzureichend umsetzen, drohen im schlimmsten Fall hohe Bußgelder. Eva-Maria Scheiter, GRC-Spezialistin bei NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group, gibt nützliche Tipps, um Strafzahlungen zu vermeiden.

Für Finanz- und Versicherungsinstitute, Gesundheit, Transport und Verkehr wird es ab 30. Juni ernst. Dann läuft die zweijährige Frist zur Umsetzung der jüngsten Änderungsverordnung des IT-Sicherheitsgesetzes ab. Die betroffenen Branchen müssen nachweisen, dass ihre kritische IT-Infrastruktur alle Änderungsvorschriften des BSI erfüllt. Eva-Maria Scheiter, Managing Consultant GRC beim Sicherheitsspezialisten NTT Security, sieht Banken und Versicherer in einer guten Position, denn sie gehören bereits zu den stark regulierten Branchen. Sie rät den betroffenen Organisationen, ihre bereits etablierten Vorgaben und Prozesse mithilfe der Orientierungshilfe zu Nachweisen gemäß § 8a (3) des BSI G zu überprüfen und sich im Zweifel kompetente Beratung ins Haus zu holen.

Scheiter empfiehlt außerdem, die Prozesse zur obligatorischen Meldung von IT-Sicherheitsvorfällen zu definieren, zu etablieren und wie bei einer Feuerübung mit den Mitarbeitern zu trainieren. Denn steht das Haus erst in Flammen, ist zum Etablieren von effizienten Meldewegen keine Zeit mehr. Etwas knifflig zu managen seien die Abhängigkeiten zwischen den einzelnen kritischen Infrastrukturkomponenten, von denen jede einzelne den GRC-Vorschriften des BSI entsprechen müsse, unterstreicht die Sicherheitsexpertin. Wird eine Infrastrukturkomponente kompromittiert, hat der Vorfall unter Umständen Auswirkungen auf andere Komponenten und kann Fehlfunktionen verursachen.

Unternehmen und Organisationen können den Nachweis, dass ihre kritische IT-Infrastruktur (Systeme, Komponenten und Prozesse) auf dem „Stand der Technik“ ist und dass sie Risiken gemäß anerkannter Standards wie ISO 27001 managen, zum Beispiel über entsprechende Zertifikate führen. Diesen Nachweis müssen die Unternehmen alle zwei Jahre erneut erbringen.

Des Weiteren schreibt das BSI-Gesetz gemäß § 8b (3) den Betreibern kritischer Infrastrukturen vor, eine Kontaktstelle zu benennen, die jederzeit – 24 Stunden am Tag, sieben Tage die Woche – erreichbar ist. Als Kontaktstelle ist zum Beispiel ein Funktionspostfach, nicht die persönliche Mail-Adresse eines einzelnen Mitarbeiters, geeignet, an die das BSI auch seine Sicherheitsinformationen schickt. Betreiber sind außerdem verpflichtet, dem BSI jede IT-Störung zu melden. Darunter fallen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung geführt haben oder führen könnten.

Das IT-Sicherheitsgesetz hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Im Fokus stehen Infrastrukturdienstleister, deren Ausfall oder Beeinträchtigung dramatische Folgen für Wirtschaft, Staat und Gesellschaft hätten. Darunter fallen zum Beispiel Strom- und Wasserversorgung, Telekommunikation, Informationstechnik, Ernährung und Verkehr. Das seit Juli 2015 gültige IT-Sicherheitsgesetz ist ein sogenanntes Artikelgesetz. Es wird durch Änderungsverordnungen für die einzelnen Branchen ergänzt und präzisiert.

www.nttsecurity.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!