IT-Sicherheitsgesetz

Kritische Infrastrukturen besser absichern

Wie die anonyme Meldepflicht von Sicherheitsvorfällen sowie BSI-Zertifizierungen Deutschlands kritische Infrastrukturen sicherer machen sollen, berichtet Ralf Koenzen, Gründungsgesellschafter der Lancom Systems GmbH, im Interview.

Ralf Koenzen, Gründungsgesellschafter der Lancom Systems GmbH, spricht im Interview über das neue IT-Sicherheitsgesetz.

IT-DIRECTOR: Herr Koenzen, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
R. Koenzen:
Angesichts der zunehmenden Vernetzung wird das IT-Sicherheitsniveau entscheidenden Einfluss auf das Funktionieren unserer Gesellschaft haben. Nur wenn es gelingt, die Digitalisierung von Prozessen sicher und zuverlässig auszugestalten und sie robust gegen die Gefahren aus dem Netz zu machen, können wir Ressourcen und Know-how langfristig sichern. Das IT-Sicherheitsgesetz ist ein wichtiger, erster Baustein hierfür.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
R. Koenzen:
Mit dem IT-Sicherheitsgesetz wurden erstmals verbindliche Rahmenbedingungen für die IT-Sicherheit bei denjenigen Infrastrukturen formuliert, die für unser tägliches Leben von großer Bedeutung sind. Das ist richtig und wichtig! Nun wird es aber entscheidend darauf ankommen, wie diese Vorgaben in den entsprechenden Verordnungen im Detail ausgestaltet werden.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
R. Koenzen:
Die Meldepflicht soll einerseits ein besseres Lagebild ermöglichen und andererseits dazu dienen, andere Unternehmen zu warnen und auf ähnliche Angriffe besser vorzubereiten. Das sind wichtige Ziele. Ob das so funktioniert, wird die Praxis zeigen.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
R. Koenzen:
Ich könnte mir eine anonyme Meldepflicht durchaus vorstellen. Damit könnte man die Ängste von Unternehmen aufgreifen, die sich Sorgen um mögliche Reputationsschäden machen, sollte ein Angriff auf sie bekannt werden. Am Lagebild würde das nichts ändern.

IT-DIRECTOR: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
R. Koenzen:
Im Interesse der betroffenen Unternehmen dürfen unbedingt nur anonymisierte Informationen an die Öffentlichkeit gelangen. Sonst wird die ohnehin schwierige Akzeptanz für die Meldepflicht weiter sinken. Ich persönlich verspreche mir auf jeden Fall ein etwas realistischeres Lagebild. Ein großes Problem dürfte jedoch bestehen bleiben: dass viele Unternehmen die Angriffe überhaupt nicht bemerken.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
R. Koenzen:
Bei den Mindeststandards geht es nicht nur um technische Vorgaben, es geht auch um Prozesse. Diese Mischung ist hochkomplex und von Branche zu Branche sehr unterschiedlich. Ein Planungszeitraum von zwei Jahren ist da durchaus realistisch und auch bei großen, nicht regulierten IT-Projekten üblich.

IT-DIRECTOR: Welche Alternative würden Sie vorschlagen?
R. Koenzen:
Ich kann die Intention des Gesetzgebers sehr gut nachvollziehen. Andererseits hätte ich mir konkretere Sicherheitsvorgaben durchaus vorstellen können, zum Beispiel den Einsatz BSI-zertifizierter IT-Lösungen, wo immer diese verfügbar sind.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
R. Koenzen:
Das Gesetz selbst ist ja nur ein Teil des Vorhabens. Nach unseren Informationen gibt es eine klare Vorstellung davon, ab wann eine Infrastruktur kritisch ist. Da dies je nach Branche unterschiedlich sein kann und zudem ständigen Änderungen unterliegt, wird dies in den entsprechenden Verordnungen geregelt werden.

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
R. Koenzen:
Um dies zu beurteilen, müssen wir uns die Wirkung des Gesetzes nach ein, zwei Jahren sehr genau ansehen. Ich möchte an dieser Stelle jedoch einen Punkt hervorheben, der uns sehr positiv überrascht hat: die im Gesetz vorgesehen Sicherheitsüberprüfungen von IT-Produkten. Diese Untersuchungen waren rechtlich in Deutschland bislang nicht möglich und haben das Potential, das IT-Sicherheitsniveau nachhaltig verbessert.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
R. Koenzen:
Viele sehen in IT-Sicherheit zunächst nur einen Kostenfaktor. Das Ziel des Gesetzes ist jedoch, Schäden abzuwenden. Und dazu zählen natürlich auch die finanziellen Schäden, die durch Cyberangriffe entstehen. Den Investitionen steht also auch ein konkreter Nutzen gegenüber.

IT-DIRECTOR: Welche drei Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
R. Koenzen:

  1. Die Informationen aus dem Lagebild nutzen, um mögliche Angriffe einfacher zu erkennen und ein Unternehmen gegen konkrete Gefahren besser zu schützen.
  2. Gebrauch davon machen, dass die IT-Hersteller durch das Gesetz erstmals eine Mitwirkungspflicht haben, wenn es um die Behebung von IT-Sicherheitsvorfällen geht.
  3. Wann immer möglich, auf BSI-zertifizierte Lösungen setzen. So wird auf der Produktebene sichergestellt, dass die Lösung gesetzeskonform ist.

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok