SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Marius BrüggemannDie Bundesregierung hat die Änderung der KRITIS-Verordnung beschlossen und teilweise ist noch vollkommen unklar, was auf Unternehmen zukommt. Ein Kommentar von Marius Brüggemann, IT-Sicherheitsexperte bei AirITSystems.

Ende Mai hat die Bundesregierung einer Änderung der KRITIS-Verordnung zugestimmt. Nun fallen auch Betriebe aus den Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport und Verkehr unter bestimmten Voraussetzungen unter die Regelungen des IT-Sicherheitsgesetzes. Was auf die Unternehmen zukommt, ist teilweise jedoch noch völlig unklar. 

Der erste Entwurf der Änderung der KRITIS-Verordnung hat bereits für Unruhe gesorgt. Schon im Vorfeld der Abstimmung formierten sich Vertreter aus der Luftfahrtbranche und wandten sich gemeinsam an das Bundesministerium des Inneren. Der Grund war unter anderem der zunächst viel zu niedrige Schwellenwert, der dazu führte, dass auch mittlere und kleine Flughäfen als Betreiber kritischer Infrastruktur galten. Ihr Aufbegehren zeigte Erfolg. Der zunächst scheinbar fundiert berechnete Wert wurde kurzerhand hochgesetzt.

Das zeigt aber auch, wie dehnbar die Bestimmungen rund um die Änderung aktuell noch sind. Die einzuhaltenden Mindeststandards für Unternehmen, die unter das IT-Sicherheitsgesetz fallen, sind noch unvollständig und ungenau. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird sie Schritt für Schritt ergänzen. Die ersten Unternehmen müssen sich jedoch schon im kommenden Jahr auf die Einhaltung dieser Standards prüfen lassen. Genauso unpräzise ist die Definition, was unter einem schweren IT-Sicherheitsvorfall zu verstehen ist, den KRITIS-relevante Unternehmen in Zukunft melden müssen.

Es stellt sich die Frage, gegen welche Norm das BSI in Zukunft prüfen wird. Statt sich auf bestehende Normen wie den eigenen IT-Grundschutz oder die ISO 27000 zu beziehen, erfindet das Ministerium aktuell das Rad neu. Die Leidtragenden sind dabei die Unternehmen, die mit immer neuen Anforderungen rechnen müssen, die in immer weniger Zeit umzusetzen sind.

www.airitsystems.de
 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet