Internet Security Days 2015

Mindestbedingungen für die IT-Sicherheit

Nachrichten über Sicherheitslücken, Hacker-Attacken und Datenverluste häufen sich. Das Problem: Mit dem Einzug des Internets der Dinge ist praktisch jedes webfähige Gerät ein potentielles Ziel für kriminelle Aktivitäten. Deshalb sollten bereits bei der Soft- und Hardware-Entwicklung gewisse Sicherheitsaspekte berücksichtigt werden, was auch im Rahmen der diesjährigen Internet Security Days in Brühl betont wurde.

ISD

Sicherheitsexperten und Branchenkenner informierten die Teilnehmer über den Stand der Dinge im Bereich „Internet-Sicherheit“.

Die vom Eco – Verband der deutschen Internetwirtschaft e.V. am 16. und 17. September 2015 veranstaltete Konferenz und Fachmesse lockte internationale Gäste ins Phantasialand. Sicherheitsexperten und Branchenkenner klärten die Teilnehmer im Rahmen von Vorträgen und Diskussionsrunden über den Stand der Dinge im Bereich „Internet-Sicherheit“ auf.

Datendiebstähle bei Unternehmen, Einbruch ins Bundestagsnetzwerk oder die Manipulation eines Autos: Immer häufiger wird in den Medien über Fälle von Cyber-Kriminalität berichtet. Meist spielen hier Sicherheitslücken eine Rolle, die von den Entwicklern viel zu spät entdeckt werden. Das Problem ist, dass grundsätzlich jedes mit dem Internet verbundene System – sei es eine smarte Glühbirne oder gar ein komplettes Atomkraftwerk – für Kriminelle Einfallstore darstellen, um illegalen Geschäften nachzugehen.

Die Entwickler müssen daher gewappnet sein und bereits bei der Software-Programmierung und Hardware-Herstellung sämtliche Sicherheitsaspekte einbeziehen. Bisher sei dies nur bedingt der Fall, so Markus Schaffrin, Eco-Geschäftsbereichsleiter Mitgliederservices: „Leider machen sich viele Hersteller über die Netzwerksicherheit erst Gedanken, wenn das Kind bereits in den Brunnen gefallen ist.“ Dabei können auf Unternehmen neben einem großen Image-Verlust auch explizite Schadenersatzforderungen zukommen, wenn sie von einem Hacker-Angriff betroffen sind und im schlimmsten Fall Datenverluste einstecken müssen.

IT-Sicherheitsgesetz: Fluch oder Segen?

Gleiches wurde in den Vorträgen der Branchenkenner betont, die im Rahmen der zweitägigen Veranstaltung zudem Themen wie „Das Internet von morgen“, „Connected World“, „Datendiebstahl vs. Datenschutz“, „Europa vereint gegen Botnetze“ und nicht zuletzt „Verordnete IT-Sicherheit – ein Fluch oder Segen?“ in den Fokus rückten.

Insbesondere letzteres Thema wird derzeit heiß diskutiert, schließlich trat am 25. Juli 2015 nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft. Was besagt es und wen betrifft ist? Laut dem Bundesministerium des Innern (BMI) sollen damit für Betreiber von Webservern wie z.B. Onlineshops ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme gelten. TK-Unternehmen seien derweil verpflichtet, ihre Kunden zu warnen, wenn deren Anschlüsse für IT-Angriffe missbraucht werden. Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen. Erweitert werden mit Inkrafttreten des IT-Sicherheitsgesetzes außerdem die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicherheit von IT-Produkten sowie seine Kompetenzen im Bereich der IT-Sicherheit der Bundesverwaltung.

Dr. Dirk Häger vom besagten Bundesamt betonte allerdings: „Das BSI war nie eine Aufsichtsbehörde und möchte auch nie eine werden.“ IT werde grundsätzlich immer wichtiger – ohne sie funktioniere irgendwann nichts mehr. Die Verfügbarkeit aufrecht zu erhalten, stelle den Kern des IT-Sicherheitsgesetzes dar.

Viele offene Fragen

Seit Inkraftreten des Gesetzes sollen ferner für die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen neue Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle gelten. Für sonstige Betreiber „kritischer Infrastrukturen“, kurz Kritis, aus den Bereichen Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gelte eine entsprechende Meldepflicht – und zwar nach Inkrafttreten einer konkretisierenden Rechtsverordnung. Diese wird derzeit noch im BMI vorbereitet.

Da das IT-Sicherheitsgesetz in vielen Punkten nicht bis ins Detail ausformuliert ist, wirft es aktuell noch einige Fragen auf, was auch bei den Internet Security Days deutlich wurde: Wer bzw. was genau ist eigentlich kritisch? E-Mail, VoIP, Messaging, Social Media und cloud-basierte Services? Gehören auch freie Wlan-Netze dazu? Hier müssen die Gesetzgeber wohl noch für eine vernünftige Aufklärung sorgen, wer nun letztlich zu den Kritis-Unternehmen zählt und wer nicht.

Bildquelle: Eco

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok