VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

SchlossMitte 2015 trat in Deutschland das neue IT-Sicherheitsgesetz in Kraft, seitdem läuft auch die zweijährige Frist für die Umsetzung dieser Bestimmungen. Besonders Betreiber sogenannter Kritischer Infrastrukturen sind nun in der Pflicht, ihre IT-Sicherheitsvorkehrungen anzupassen.

Um bei der Erarbeitung eines ganzheitlichen Konzepts bis hin zur Auditierung alle wichtigen Aspekte im Blick zu behalten, empfiehlt es sich, auch auf die Unterstützung erfahrener Spezialisten zurückzugreifen.

Die IT-Sicherheitslage in Deutschland

Kaum eine Woche vergeht, in der nicht von erfolgreichen Cyberangriffen auf öffentliche Institutionen, Behörden oder privatwirtschaftliche Unternehmen in Deutschland berichtet wird. Die Angriffe erfolgen zielgerichtet und werden technologisch immer ausgereifter und komplexer. Der jährliche Schaden durch Cyberangriffe und deren Auswirkungen wird vom Cyber-Sicherheitsrat, der 2012 in Deutschland von großen Unternehmen mitgegründet wurde, auf jährlich bis zu 50 Milliarden Euro geschätzt. (Handelsblatt, 16.03.2015)

Mit dem Mitte 2015 vom Deutschen Bundestag verabschiedeten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) soll eine signifikante Verbesserung der Sicherheit von IT-Systemen in Deutschland erreicht werden. Insbesondere Betreiber sogenannter Kritischer Infrastrukturen sind aufgrund ihrer besonderen Verantwortung für das Gemeinwohl verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und IT-Sicherheitsvorfälle zu melden, denn ein Ausfall oder eine Beeinträchtigung ihrer Infrastrukturen kann weitreichende gesellschaftliche Folgen haben.

Im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik sind solche Kritische Infrastrukturen (KRITIS) als Einrichtungen, Anlagen oder Teile davon definiert, die den folgenden Sektoren angehören:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit/Pharma
  • Wasser
  • Ernährung
  • sowie Finanz- und Versicherungswesen

Diese sind von hoher Bedeutung für das Funktionieren des Gemeinwesens, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Welche Anforderungen stellt das neue IT-Sicherheitsgesetz?

Unternehmen, die Kritische Infrastrukturen betreiben, sind durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Infrastrukturen einzuhalten. Der durch das IT-Sicherheitsgesetz im BSI-Gesetz neu hinzu gekommene Paragraph 8a legt fest, dass KRITIS-Betreiber verpflichtet sind, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Darüber hinaus haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen, wie oben dargestellt, auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Des Weiteren ist nunmehr gesetzlich festgelegt, dass IT-Sicherheitsvorfälle meldepflichtig sind. Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. KRITIS-Betreiber haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, unverzüglich an das Bundesamt zu melden.

Umsetzung der Anforderungen – was ist zu tun?

Wichtige Maßnahmen mit hoher Komplexität zur Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sind der Aufbau eines Risiko- und Krisenmanagements sowie die Planung, Etablierung, Aufrechterhaltung und ständige Verbesserung eines Information Security Management Systems (ISMS) nach dem internationalen Informationssicherheits-Standard ISO 27001. Für den Aufbau des Risiko- und Security Management System empfiehlt es sich, bereits in der Planungsphase die Hilfe spezialisierter Berater in Anspruch zu nehmen. Soll das bestehende Risiko- und Security Management System im Unternehmen überprüft und angepasst werden, so bieten sich ein von extern durchgeführter Sicherheitscheck oder eine GAP Analyse an, um die wesentlichen Bausteine des ISMS zu testen. Technische, organisatorische, personelle und bauliche Maßnahmen werden dabei auf ihren Umsetzungsstatus hin geprüft. Ein abschließender Ergebnisreport gibt Aufschluss über den Status des ISMS im jeweiligen Unternehmen und zeigt den Handlungsbedarf auf.

Nach der Umsetzung der dafür erforderlichen technischen und organisatorischen Maßnahmen, wie der Etablierung von Notfallmanagement- und Security Incident Prozessen oder der Besetzung der Rollen des Information Security Managers sowie Notfall- und Krisenmanagers, kann nach Erreichen des geforderten Umsetzungsgrads der Maßnahmen die Zertifizierung nach ISO 27001 in Angriff genommen werden.

Der Einsatz BSI-zertifizierter Informationssicherheits-Revisions- und Beratungsexperten („IS-Revisor“) gewährleistet die notwendige Qualität und stellt sicher, dass die Ergebnisse bei Behörden und externen Stellen anerkannt werden.

Die erfolgreiche Zertifizierung ist der entscheidende Meilenstein bei der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes und ein wirksamer Beitrag zur Abwehr von Cyberangriffen gegen die Kritischen Infrastrukturen.

Dr.-Ing. Christian ScharffDr.-Ing. Christian Scharff, CISSP, Zertifizierter Informationssicherheits-Revisions- und Beratungsexperte (BSI), Zertifizierter Datenschutzauditor (TÜV)

www.accuris.de

 

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt