Anonyme Meldepflicht bei Cyber-Attacken

Präventionsmaßnahmen des IT-Sicherheitsgesetzes

Auf welche Weise die vom IT-Sicherheitsgesetzes vorgesehene anonyme Meldepflicht zu Präventionsmaßnahmen verhilft, erläuert Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks, im Interview.

Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks, spricht über das neue IT-Sicherheitsgesetz.

IT-DIRECTOR: Herr Henning, Meldepflicht von Angriffen auf das IT-System von Unternehmen – was halten Sie davon?
T. Henning:
Das gezielte Angreifen von kritischen Infrastrukturen und Ausspionieren von sensiblen Informationen passiert heute sehr organisiert und stellenweise mit großem Aufwand. Um auf solche Gefahren schnell und erfolgreich reagieren zu können, schließen sich beispielsweise IT-Security Hersteller zu Vereinigungen wie der “Cyber Threat Alliance” zusammen. Solch ein Informationsaustausch geschieht ebenso im behördlichen Umfeld. Die Meldepflicht von Angriffen auf Unternehmen schafft nun eine sinnvolle Verbindung zwischen Wirtschaft und staatlichem Schutz sowie Institutionen. So können die aktuelle Lage von Angriffen besser erkannt und wertvolle Daten und Systeme effektiv verteidigt werden.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
T. Henning:
Konkrete Informationen zur aktuellen Situation von Angriffen sind sicherlich das Optimum zum erfolgreichen Schutz von verteilten System und Informationen. Dies gilt insbesondere für ausführende “Incident Response Teams”. Mit Rücksicht auf Datenschutz und Unternehmens-Image kann anonyme Meldepflicht trotzdem ein Lagebild erzeugen und beispielsweise spezielle Branchen, Betriebe, oder entscheidende Personenkreise vorwarnen. Dies ist eine wesentliche Verbesserung – von bisherigen re-aktiven Verfahren hin zur Prävention.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
T. Henning:
Wenn diese Standards einen Wandel zum modernen, präventiven Schutz vorsehen, können ebenso unbekannte und zukünftige Risiken berücksichtigt werden. Dies ist vor allem durch Analyse von Lücken im eigenen System gegenüber Angriffsvektoren (z.B. mobile Geräte) und Angriffs-Lebens-Zyklen (Phasen einer Attacke) machbar. Zentrale Kontrollen dieser Standards spielen dabei eine wichtige Rolle.

IT-DIRECTOR: Welche Alternative würden Sie vorschlagen?
T. Henning:
Alternativ können Behörden, Unternehmen und Hersteller selbstverpflichtend Informationen über Risiken, deren Quellen und Ziele austauschen. Individuell können Infrastrukturbetreiber ihre eigenen Incident Management Systeme mit globalen Daten anreichern, um selbst eine Risikobewertung durchzuführen. Auch hier sind für die Umsetzung eine zentrale Verwaltung sowie sogenannte Security-Information- und Event-Management-Systeme wichtig. 

IT-DIRECTOR: Wann ist eine Infrastruktur kritisch?
T. Henning:
Das Bundesministerium des Inneren führt die Liste der kritischen Infrastrukturen mit Energie, Kommunikation, Transport und Gesundheit an. Dabei handelt es sich in erster Linie um Einrichtungen zur Versorgung und öffentlicher Sicherheit. Unternehmen definieren dies sehr ähnlich, um den Geschäftsbetrieb sicher zu stellen, oder nach Ausfällen schnell wieder produktiv zu sein.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
T. Henning:
Solche Kosten sollten als Risiko-Versicherung gesehen werden. Dagegen stehen Unternehmenswerte und das Risiko diese zu verlieren oder nicht verfügbar zu haben. Einer aktuellen Studie von IBM zufolge kostet eine Datenpanne durchschnittlich 3.8 Millionen Dollar. Laut Bitkom ist in den vergangenen zwei Jahren jede zweite Firma in Deutschland Opfer von Cyber-Attacken geworden. Bitkom schätzt den Schaden für die deutsche Wirtschaft durch digitale Angriffe auf 51 Milliarden Euro pro Jahr. Investitionen in bessere IT-Sicherheit sind da sicherlich gut angelegtes Geld.  

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok