Thought Leadership
Nahezu täglich finden sich in den Nachrichten Meldungen über Hackerangriffe krimineller und/oder staatlich unterstützter Gruppen. In Deutschland soll das IT-Sicherheitsgesetz (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) dabei für mehr Sicherheit für alle sorgen – und das bereits seit mehr als einem Jahr.
Allerdings scheint das IT-Sicherheitsgesetz bisher nicht die Beachtung zu finden, die es verdient. Dabei bietet es einige interessante Anwendungsfälle.
Was ist das IT-Sicherheitsgesetz 2.0 – Ein kurzer Überblick
Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist seit dem 28. Mai 2021 in Kraft. Ziel war und ist es „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.“
Dazu baut das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) auf dem seit 2015 geltenden Ersten IT-Sicherheitsgesetz auf. Es erweitert dieses in den Punkten Detektion und Abwehr, Cybersicherheit in den Mobilfunknetzen, Verbraucherschutz und Sicherheit für Unternehmen. Gleichzeitig bestätigt es den Status des BSI als Nationale Behörde für Cybersicherheitszertifizierung. Es stellt damit eine Erweiterung der bereits bestehenden Paragrafen dar.
Welche Branchen sind betroffen
Besonderes Augenmerk wurde auf die Kritischen Infrastrukturen (KRITIS) gelegt. Das sind in Deutschland die folgenden Wirtschaftszweige:
- Energie (z.B. Elektrizität)
- Finanzwesen (z.B. Banken, Versicherungen)
- Gefahrstoffe (Chemie- und Biostoffe, Rüstungsindustrie)
- Informationstechnik und Telekommunikation (z.B. Telekommunikation)
- Staatliche Einrichtungen (z.B. Behörden, Justiz)
- Transport und Verkehr (z.B. Luftfahrt, Postwesen)
- Versorgung (z.B. Gesundheitswesen, Katastrophenschutz)
- Sonstiges (z.B. Medien, Kulturgut)
Sie werden als kritisch bezeichnet, da ihr Ausfall oder die Beeinträchtigung ihrer Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland hätte. Die Verfügbarkeit und Sicherheit ihrer IT-Systeme spielen somit eine wichtige und zentrale Rolle.
Für alle diese Branchen gilt seit Version 1.0 des IT-Sicherheitsgesetzes die Pflicht sowohl IT-Sicherheitsvorfälle ihren Kunden zu melden als auch sich gegen Cyberangriffe besser zu wappnen. In Version 2.0 des IT-Sicherheitsgesetzes wurde der Angriff durch Cyberkriminelle um eine staatliche Meldepflicht erweitert.
Lösungen diese Pflichten zu erfüllen
Um sich gegen Cyberangriffe zu wappnen, sind allerdings umfangreiche Maßnahmen nötig, welche weit über Firewalls, Virenscanner und andere Security-Lösungen hinausgehen. Besonders hervorzuheben ist hier die Notwendigkeit die Software stets auf dem neuesten Stand zu halten, mit Hotfixes, Patches und Updates.
Zusätzlich muss auch die größte Sicherheitsschwachstelle, der Mensch, durch regelmäßige Schulungen für die Themen IT-Sicherheit und Schutz vor externen Cyberattacken sensibilisiert werden. Folglich müssen alle Aspekte in der IT-Sicherheitsstrategie berücksichtigt werden. Zusätzlich muss die Sicherheit der digitalen Infrastruktur mindestens alle zwei Jahre überprüft werden. Sollten dann Mängel entdeckt werden, ist es dem BSI gestattet, im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anzuordnen.
Wie UEM zu Compliance verhelfen kann
Um sicherzustellen, dass Server, PCs, Notebooks, Tablets, Smartphones und andere moderne Geräte – auch im Bereich IoT oder IP-Telefone, Netzwerksdrucker und -scanner uvm. – stets auf dem neuesten Stand sind, führt heutzutage an Automatisierung kein Weg vorbei. Denn händisch ist das aufgrund der Vielzahl an Geräten und Typen praktisch nicht mehr zu bewältigen.
Genau hier setzt Unified Endpoint Management (UEM) an. Der UEM-Ansatz zeichnet insbesondere dadurch aus, dass alle Endgeräte vom ersten Tag im Rahmen des administrativen Onboarding-Prozesses bis hin zum Offboarding verwaltet und gewartet werden. Darüber hinaus lassen sich damit neuinstallierte Anwendungen ebenso problemlos betreuen wie bestehende Anwendungen, Hardware oder Betriebssysteme.
Erfassung, Inventarisierung, Softwareverteilung, Updatemanagement sowie Self Service Angebote für Anwender oder Abteilungen lassen sich mit UEM einfach gestalten. IT-Administratoren können damit zeitintensive Routinetätigkeiten automatisieren und damit gleichzeitig die Fehleranfälligkeit der Prozesse verringern.
Flexibel und sicher
Das IT-Sicherheitsgesetz verpflichtet die Betreiber von kritischer Infrastruktur zu umfangreichen Schutzmaßnahmen, wodurch Datenschutz und -sicherheit in den Vordergrund rücken. Dementsprechend müssen Unternehmen in der Lage sein einen genauen und transparenten Überblick über ihre IT zu haben. Mithilfe von UEM ist das möglich. Das IT-Team ist somit in der Lage, auf den erfassten Geräten die erforderlichen Updates zum Schließen neu bekannt gewordener Sicherheitslücken zu installieren. Zusätzlich ist es ihnen möglich den Zeitpunkt festzulegen, wann die Updates erfolgen sollen. So haben sie die Möglichkeit z.B. bei einer kritischen Lücke den Hotfix umgehend nach Hochfahren des Rechners zu installieren. Gleichzeitig ist eine gute UEM Lösung flexibel genug, einen zeitlichen Rahmen zu definieren, in dem sich das Update selbst installiert. Dokumentations- und Reporting Funktionen helfen dabei diese Compliance nachzuweisen. Das ist insofern von großer Relevanz, da bei grob fahrlässigem Verhalten empfindliche Bußgelder drohen.
Hier wird deutlich, dass jedes Unternehmen von diesem umfassenden Ansatz profitieren kann. Durch die Implementierung einer eigenen IT-Sicherheitsstrategie kann jede bekannte Lücke in kürzester Zeit geschlossen werden. Damit reduziert sich für Cyberkriminelle deutlich die Chance, Unternehmen und Gesellschaft zu schaden.
