Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Marius BrüggemannDie Bundesregierung hat die Änderung der KRITIS-Verordnung beschlossen und teilweise ist noch vollkommen unklar, was auf Unternehmen zukommt. Ein Kommentar von Marius Brüggemann, IT-Sicherheitsexperte bei AirITSystems.

Ende Mai hat die Bundesregierung einer Änderung der KRITIS-Verordnung zugestimmt. Nun fallen auch Betriebe aus den Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport und Verkehr unter bestimmten Voraussetzungen unter die Regelungen des IT-Sicherheitsgesetzes. Was auf die Unternehmen zukommt, ist teilweise jedoch noch völlig unklar. 

Der erste Entwurf der Änderung der KRITIS-Verordnung hat bereits für Unruhe gesorgt. Schon im Vorfeld der Abstimmung formierten sich Vertreter aus der Luftfahrtbranche und wandten sich gemeinsam an das Bundesministerium des Inneren. Der Grund war unter anderem der zunächst viel zu niedrige Schwellenwert, der dazu führte, dass auch mittlere und kleine Flughäfen als Betreiber kritischer Infrastruktur galten. Ihr Aufbegehren zeigte Erfolg. Der zunächst scheinbar fundiert berechnete Wert wurde kurzerhand hochgesetzt.

Das zeigt aber auch, wie dehnbar die Bestimmungen rund um die Änderung aktuell noch sind. Die einzuhaltenden Mindeststandards für Unternehmen, die unter das IT-Sicherheitsgesetz fallen, sind noch unvollständig und ungenau. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird sie Schritt für Schritt ergänzen. Die ersten Unternehmen müssen sich jedoch schon im kommenden Jahr auf die Einhaltung dieser Standards prüfen lassen. Genauso unpräzise ist die Definition, was unter einem schweren IT-Sicherheitsvorfall zu verstehen ist, den KRITIS-relevante Unternehmen in Zukunft melden müssen.

Es stellt sich die Frage, gegen welche Norm das BSI in Zukunft prüfen wird. Statt sich auf bestehende Normen wie den eigenen IT-Grundschutz oder die ISO 27000 zu beziehen, erfindet das Ministerium aktuell das Rad neu. Die Leidtragenden sind dabei die Unternehmen, die mit immer neuen Anforderungen rechnen müssen, die in immer weniger Zeit umzusetzen sind.

www.airitsystems.de
 

GRID LIST
Trojaner

Hausgemachte Sicherheitsdefizite machen es „Ryuk“ einfach

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor dem…
Hacker

Unterschätzte Bedrohung Datendiebstahl

Datendiebstahl zählt zu den größten Bedrohungen in der Cyberwelt. So wurden im Jahr 2017…
Phishing

Spear Phishing mit Emotet - Tipps zum Schutz gegen Trojaner

Ein neuer Trojaner verbreitet derzeit Schrecken: Emotet flattert mit ausgesprochen…
Strommasten

Einführung der ISO 27001 bei Telemark

Stadtwerke haben für ihre Fernwirkanlagen die gesetzliche Forderung einer Zertifizierung…
2019

Security Predictions 2019 - Automatisierung ist Trumpf

Im Jahr 2019 wird sich nicht alles ändern: es wird dieselben Sicherheitsprobleme geben…
Smarte News aus der IT-Welt