Kritische Infrastrukturen besser absichern

IT-Sicherheitsgesetz braucht konkrete Verordnungen

Wie das IT-Sicherheitsgesetz für mehr Sicherheit sorgt und wie hilfreich dabei eine anonyme Meldepflicht ist, berichtet Markus Linnemann, Leiter Division Kritische Infrastrukturen bei Secunet Security Networks AG.

Markus Linnemann, Leiter Division Kritische Infrastrukturen bei Secunet Security Networks AG

IT-DIRECTOR: Herr Linnemann, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
M. Linnemann:
Das Vorhaben der Bundesregierung an sich ist zu begrüßen. Der Erfolg des Gesetzes hängt jedoch von den noch zu definierenden weiteren Vorgaben und deren Kontrolle ab. Erst mit den finalen Verordnungen im Zusammenspiel mit den jeweiligen branchenspezifischen Standards besteht die Möglichkeit die Hürde für international agierende Hacker-Organisationen signifikant zu erhöhen.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
M. Linnemann:
Durch den gesetzlichen Rahmen schaffen wir eine Erhöhung der Sicherheit in der Breite. Das hilft, die aktuell sehr heterogene Sicherheitslandschaft in den einzelnen KRITIS-Sektoren zu homogenisieren. Durch die fortschreitende Digitalisierung der Gesellschaft ist die Erhöhung der IT-Sicherheit auch dringend notwendig.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
M. Linnemann:
Wissen ist Macht! Wer die meisten Informationen über Angriffe besitzt, kann die bestmögliche Abwehr organisieren. Daher ist ein Austausch von Informationen für alle beteiligten hilfreich. Man kennt dies übrigens auch aus anderen Bereichen der Gesellschaft, z.B. bei der Seuchenbekämpfung im Gesundheitswesen. Entscheidend wird die Art der Umsetzung.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
M. Linnemann:
Im Notfall ist es wünschenswert das meldende Unternehmen ansprechen zu können, um weitere Informationen zur Problemlösung zu erfragen. Aber zur Warnung von anderen Unternehmen und zur statistischen Aufbereitung (z.B. für Lagebilder, Benchmarks) sind anonyme Informationen bereits eine enorme Hilfe. Außerdem ist die Anonymisierung nach außen wichtig, damit keine potentiellen Schwachpunkte einer Organisation zugeordnet werden können.

IT-DIRECTOR: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
M. Linnemann:
Die Behörden können ein genaueres Lagebild für Deutschland und für die einzelnen Sektoren erstellen und den betroffenen Unternehmen zur Verfügung stellen. Das Lagebild kann dabei zum Benchmarking für die Behörde der Umsetzung von IT-Sicherheit in den einzelnen Sektoren dienen. Es bietet den teilnehmenden Unternehmen eine eigene Einschätzung im Branchenvergleich. Darüber hinaus werden Analysen ermöglicht, die Auskunft über systematische Angriffe auf kritische Versorgungsleistungen geben. 

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
M. Linnemann:
Die branchenbezogenen Sicherheits-Management-Standards beschreiben ein grundsätzliches Vorgehen, dass in verschiedenen Reifegraden interpretiert werden kann. Es geht darum, einen angemessenen Reifegrad in der Umsetzung dieser Standards zu erreichen.

Diese müssen bei Bedarf angepasst werden – jedoch nicht im sechs-Monatsrhythmus. Technische Standards und deren Umsetzungen müssen dagegen regelmäßig überprüft werden. Entscheidend ist, übergreifend die Sicherheits-Management-Grundlagen (Richtlinien, Prozesse etc.) in den jeweiligen Unternehmen zu etablieren.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
M. Linnemann:
Hier müssen weitere Definitionen über die Verordnungen erfolgen, so dass im Markt Klarheit geschaffen wird. Die Entscheidung ist dabei gar nicht so einfach, wie man denken könnte. Je nach Betroffenheit würden vielleicht die Beteiligten jeweils anders entscheiden, was aus volkswirtschaftlichen und gesellschaftlichen Gründen entscheidend ist. Für Secunet zählt eine Infrastruktur zu den kritischen, wenn bei einem Ausfall die Versorgungsleistung für einen größeren Teil der Bevölkerung gefährdet wäre.

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
M. Linnemann:
Es fehlen noch die entsprechenden Verordnungen, welche die Details regeln. Kritisch zu bewerten ist, ob der eingebrachte „Stand der Technik“ ausreichend ist. Die Gesamtheit der Systeme muss eine hohe Vertrauenswürdigkeit aufweisen und im zweiten Schritt dem Stand der Technik auch einen Schritt voraus sein.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
M. Linnemann:
Das Gesetz unterstützt die Einführung von mehr Sicherheit in Kritischen Infrastrukturen. Die Investitionen an dieser Stelle sind im volkswirtschaftlichen Sinne sowieso notwendig und in vielen Bereichen auch aus ökonomischer Sicht für den Erhalt der Geschäftsfelder der Unternehmen unablässig.

Es wird die „Kleineren“ eher unvorbereitet treffen, als die „Großen“ der jeweiligen Sektoren. Hier werden teilweise keine Zusatzaufwände entstehen. Zur Unterstützung der „Kleinen“ sollten bei Bedarf entsprechende Programme entworfen werden. 

IT-DIRECTOR: Welche drei Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
M. Linnemann:

  1. Unternehmen sollten schnell agieren, da die Umsetzung Zeit beansprucht. Dies kann je nach Größe des betroffenen IT-Verbundes schon sechs Monate bis zu zwei Jahre dauern.
  2. Die Inhalte des Gesetzes entsprechen aus Sicherheitssicht einer notwendigen Grundsicherung. Das Management der Unternehmen sollte die Herausforderung als Leitungsaufgabe wahrnehmen, da viele Bereiche betroffen sind und somit ein gemeinschaftliches Handeln Kosten reduziert, den Zeitrahmen optimiert und ein einheitliches Sicherheitsniveau möglich macht.
  3. Unternehmen sollten sich von Sicherheitsberatern mit Erfahrung in regulierten Märkten holen, um die Vorgaben zeitnah erfüllen zu können.

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok