Wie Deutschland sicherer wird

Cybersicherheit lässt sich nicht erzwingen

Das IT-Sicherheitsgesetz liefert eine gute Grundlage für mehr Sicherheit in Deutschland. Doch diese lässt sich nicht erzwingen – Unternehmen stehen unter Zugzwang entsprechende Maßnahmen zu ergreifen, meint Dirk Arendt, Leitender Beauftragter Public Affairs & New Technologies bei Check Point Software Technologies GmbH.

Dirk Arendt, Leitender Beauftragter Public Affairs & New Technologies bei Check Point Software Technologies GmbH, sieht Unternehmen in der Pflicht, sich gegen Sicherheitsvorfälle zu wappnen.

IT-DIRECTOR: Herr Arendt, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
D. Arendt:
Das hört sich zunächst einmal nach einem sehr anspruchsvollen Ziel an. Allerdings muss man verstehen, dass Deutschland weltweit eine der größten Exportnationen ist. Dem entsprechend müssen die Anforderungen an IT-Sicherheit sehr hoch sein. Der wirtschaftliche Erfolg der Marke „Made in Germany“ kann aber nicht nur durch eine einzige Variable erklärt werden. Das Gleiche gilt für IT-Systeme und digitale Infrastruktur. Das IT-Sicherheitsgesetz ist ein guter Anfang, aber nur ein erster Schritt auf einem langen Weg.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
D. Arendt:
Zunächst muss man erwähnen, dass es um mehr als nationale Sicherheit geht. Cybersicherheit geht über die Grenzen der Bundesrepublik hinaus. Das IT-Sicherheitsgesetz ist nur ein Element in einem großen Prozess für mehr Cybersicherheit.

Beispielsweise ist die EU gerade dabei die Richtlinie zur Netzwerk- und Informationssicherheit (NIS), sowie die allgemeine Datenschutzverordnung (GDPR) zu verabschieden. Das Gesetz in Deutschland und die Initiativen der EU haben das Ziel, einen Mindestschutz für das wirtschaftliche und politische System in Europa zu gewährleisten. Wir sprechen hier vom gemeinsamen europäischen Binnenmarkt und dem Datenschutz aller EU-Bürger. Das ist ein riesiger Prozess und Teile davon manifestieren sich natürlich in Gesetzen, aber das ist nur ein kleiner Abschnitt einer großen Reise.

Deshalb ja, aber man muss den Kontext sehen. Das Gesetz ist Teil eines großen Prozesses, der Deutschland sicherer machen wird. Wir erleben gerade, dass die Regierung erste Ergebnisse in Form eines Gesetzes hervorgebracht hat. Natürlich dauert es etwas, bis die Maßnahmen zur Erhöhung der Sicherheit greifen. Es ist ein extrem großes Vorhaben, so viele Bereiche miteinander zu harmonisieren. Logisch braucht es noch Anpassungsmaßnahmen, aber das Gesetz geht in die richtige Richtung.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
D. Arendt:
Es ist wichtig, dass man mehr Bewusstsein schafft. Die EU-Kommission spricht von der Schaffung „Cybersicherheitskultur“. Deshalb müssen wir akzeptieren, dass die Bedrohungslandschaft sich gewandelt hat. Cyberangriffe sind eine reale Bedrohung und es braucht den Mut über Angriffe zu sprechen. Es ist nötig, eine gemeinsame Wissensbasis zu schaffen, an der sich alle beteiligen können. Es ist wichtig, Firmen eine Orientierung vorzugeben, allerdings kann man Cybersicherheit nicht erzwingen.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
D. Arendt:
Nein, das sehe ich nicht so. Wie schon angesprochen ist IT-Sicherheit ein holistisches Konzept. Es geht von einem wichtigen Gemeingut, dass man nicht einfach an- und ausschalten kann. Es gilt jetzt Maßnahmen zu ergreifen. Nicht weil man verpflichtet wurde, sondern einfach weil dieser Punkt für Gesellschaft, Politik und Wirtschaft so wichtig ist.

Es braucht die konsequente Anstrengung von vielen Akteuren, um IT-Systeme nachhaltig zu schützen. IT-Sicherheit ist mehr als ein kaufbares Produkt. Wir sprechen über einen ständigen Prozess, der sich progressiv weiterentwickelt. Menschen, Technologie und Innovation müssen Hand in Hand gehen, nur so wird man dem Anspruch gerecht. Das Stichwort der Kultur ist ein wichtiger Punkt. Dabei geht es um die Aggregierung von subjektiven Werten in der Gesellschaft.

Ziel muss sein, dass wir jetzt daran arbeiten, unser kollektives Bewusstsein für die Zukunft zu stärken. Die Zukunft wird heute gesichert, nicht in zwei Jahren.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
D. Arendt:
Das Gesetz hat einen ersten Definitionsbereich vorgegeben, allerdings bis dato nur die Branchen genannt. Ich kann sehr gut nachvollziehen, dass Unternehmen momentan unsicher sind. Anderseits arbeiten das BSI und andere Behörden schon an der entsprechenden Rechtsnorm, die mehr Klarheit schaffen wird.

Kritische Infrastrukturen sind alle Bereiche, die heutzutage für das Funktionieren der Gesellschaft nötig sind. Im Zuge der digitalen Integration sind das weitaus mehr Bereiche, als man es sich vorstellen kann. Darum ist eine Definition auch schwierig. Das Gesetz ist noch jung, es werden aber sicherlich noch genauere Bestimmungen folgen.

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
D. Arendt:
Besonders wichtig ist der subjektive Faktor. Die Anbieter heutzutage sind in der Lage sehr gute technische Lösungen zur Verfügung zu stellen. Oft vergessen wird aber den Menschen hinter dem Endgerät. Medienkompetenz und Erziehung sind sehr wichtige Punkte, auf die stärker eingegangen werden muss.

Digitalisierung betrifft uns alle. Öffentliche und private Einrichtungen müssen das Thema Cybersicherheit verstärkt auf ihre Agenda setzen. Und zwar in all ihren Facetten. Das fängt in der Schule an und geht am Arbeitsplatz weiter. Es gibt viele Bereiche, in denen mehr Bewusstsein geschaffen werden muss.

Positiv ist die jüngste Integration von öffentlichen Verwaltungen des Bundes in das Gesetz. Nach dem Cyberangriff auf den Bundestag wurde das Gesetz auf Bundeseinrichtungen erweitert. Hier wäre eine Ausdehnung auf die Länder- und Kommunalverwaltungen wichtig. Als föderale Bundesrepublik findet dort ein Großteil der Alltagsbürokratie statt, mit einer Vielzahl von persönlichen Daten. Sie sollten ebenfalls noch in das Gesetz integriert werden.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
D. Arendt:
Es kursieren viele Kostenmodelle, aber man kann an Cyber-Sicherheit kein Preisschild hängen. Es geht um mehr als um Investitionen. Natürlich müssen Standards erfüllt werden, aber wir sprechen von einer breitflächigen Agenda, die viele Facetten von Wirtschaft und Gesellschaft betrifft. Deshalb kann man kein richtiges Kostenmodell erstellen.

Es gilt zunächst, die eigene Situation festzustellen und sich der neuen Gefahrenlage bewusst zu werden. Wo sind meine Schwachpunkte? Welchen Gefahren bin ich ausgesetzt? Je mehr Bewusstsein ein Unternehmen und seine Mitarbeiter für Cybersicherheit haben, desto leichter lassen sich eventuelle Kosten bewältigen und bestimmen. Wenn man weiß, wohin man will, dann findet man auch leicht einen Weg, um das Ziel günstig zu erreichen.

IT-DIRECTOR: Welche drei Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
D. Arendt:
Der erste Grundpfeiler muss eine Gesamtstrategie für das komplette Unternehmen sein. Dazu gehören die angesprochenen Punkte: Welche Schwachpunkte gibt es? Wie kann man sich schützen? Was für Assets habe ich? Diese und ähnliche Grundlagen müssen geklärt werden.

Der zweite Punkt wäre die regelmäßige Überprüfung des Konzeptes und dessen Einhaltung. Das heißt, man muss sowohl schauen, ob man sein Gesamtkonzept aktualisieren muss, als auch ob die Vorgaben nach wie vor eingehalten werden.

Die dritte Empfehlung ist die nachhaltige Kultivierung von IT-Sicherheit durch die komplette Organisation hindurch. Jede Mitarbeiterin und jeder Mitarbeiter muss für das Thema Cybersicherheit sensibilisiert werden. Der Gedanke muss jede Facette eines Unternehmens durchdringen. Egal welche Abteilung oder Gehaltsstufe, jeder Angestellte sollte regelmäßig zum Thema geschult und informiert werden.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok