Informationssicherheit in Deutschland

Risikomanagement für Unternehmen

Im Interview berichtet Dr. Stefan Krempl, Vorstand der Süd IT AG, über die Notwendigkeit eines individuellen Risikomanagements für Unternehmen.

Dr. Stefan Krempl, Vorstand der Süd IT AG

IT-DIRECTOR: Herr Krempl, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
S. Krempl:
Das IT-Sicherheitsgesetz ist ein Schritt in die richtige Richtung. Die Bundesregierung demonstriert damit, dass digitale Infrastrukturen heute wesentlich für das Funktionieren eines Gemeinwesens sind.

Das Gesetz ist gut gemeint – aber nicht unbedingt gut gemacht: Methodisch wäre ein anderer Ansatz sinnvoller gewesen. Das Gesetz rückt die Sicherheitsmaßnahmen nach dem Stand der Technik in den Vordergrund. Basis jeder Sicherheit ist aber ein individuelles Risikomanagement. Hier geht es um eine Abwägung zwischen dem Aufwand für die Implementierung von Sicherheitsmaßnahmen einerseits und dem tatsächlichen Risiko, also der Höhe sowie Eintrittswahrscheinlichkeit eines möglichen Schadens, andererseits.

Ein individuelles Risikomanagement würde es für Betreiber kritischer Infrastrukturen leichter machen, die Forderung des Gesetzes nach angemessenen Sicherheitsmaßnahmen zu erfüllen – und gleichzeitig ein optimales Sicherheitsniveau mit vertretbaren Kosten zu erreichen.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
S. Krempl:
Das Gesetz rückt die Sicherheit der Infrastruktur stärker in das Bewusstsein der Verantwortlichen. Insofern leistet es einen wichtigen Beitrag zur Informationssicherheit in Deutschland.

Es liegt jetzt an den Unternehmen, die Anforderungen intelligent umzusetzen, damit nicht nur Kosten produziert werden, sondern Deutschland wirklich sicherer wird.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
S. Krempl:
Die Meldepflicht zielt auf zentrales Lagebild der Sicherheitsgefährdungen. Diese Intention ist berechtigt und sinnvoll – die Meldepflicht ist hier allerdings nur ein erster Schritt. Denn für ein umfassendes Lagebild sollten beispielsweise auch die Informationen der Virenscanner- und Firewall-Anbieter, Erkenntnisse aus Social-Media-Portalen sowie Analysen der Netzbetreiber zusammengeführt werden.

Die Erstellung eines umfassenden Lagebildes ist ein wichtiges Ziel: Ob dies eine staatliche Stelle wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) leisten kann, ist fraglich – auch vor dem Hintergrund der personellen und finanziellen Ausstattung. Eine von staatlichen Aufgaben unabhängige Einrichtung wäre dafür besser geeignet.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
S. Krempl:
Ob eine anonyme Meldepflicht qualitativ hochwertige Daten ergibt, ist fraglich. Trotz Anonymität betrachten Unternehmen die Weitergabe sensibler Informationen erfahrungsgemäß mit einer gewissen Skepsis.

Anonyme Meldungen werden eher eine verzerrte Darstellung der Lage liefern, weil vermutlich nur wenige Unternehmen oder Branchen der Meldepflicht zuverlässig nachkommen werden.

IT-DIRECTOR: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
S. Krempl:
Ich erwarte nicht, dass qualitativ erkennbar bessere Informationen gesammelt werden, als man sie heute schon bei Auswertung relevanter Sicherheitsberichte von privaten Anbietern oder internationalen resp. nationalen Institutionen erhält.

Auch unabhängig von der Meldezurückhaltung vieler Unternehmen, wird der Erkenntnisgewinn durch die Meldepflicht begrenzt sein: Denn viele Angriffe bleiben unentdeckt und können daher gar nicht gemeldet werden.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
S. Krempl:
Ein Mindeststandard der Sicherheit darf nicht von technischen Maßnahmen abhängen, die schon nach kurzer Zeit überholt sind. Maßnahmen nach „dem Stand der Technik“, wie im Gesetz gefordert, sind in der Praxis häufig zu aufwendig oder einfach unzureichend.

Ausschlaggebend sollte vielmehr das Sicherheitsbedürfnis des Unternehmens sein. Eine Risikoanalyse, wie sie Bestandteil eines Informations-Sicherheits-Management-Systems nach ISO/IEC 27001 ist, lässt unternehmensspezifische Schlussfolgerungen zu. Sie gehen über technische Maßnahmen deutlich hinaus und können bis zur Einschränkung kritische Geschäftsprozesse reichen.

Besser als das IT-Sicherheitsgesetz macht es die Bundesnetzagentur, die mit dem aktuellen Entwurf ihres Sicherheitskatalogs einen individuellen Risikoansatz verfolgt. Demnach müssen Energieversorger ihr Managementsystem zur Informationssicherheit nach ISO/IEC 27001 mit branchenspezifischen Erweiterungen nach ISO/IEC TR 27019 zertifizieren lassen.

Die internationale Norm verpflichtet Energieversorger, ein sorgfältiges Risikomanagement durchzuführen und Risiken so zu behandeln, wie man es branchentypisch erwarten sollte. Methodisch ist dies der richtige Weg, um ein angemessenes Sicherheitsniveau zu erreichen.

IT-DIRECTOR: Welche Alternative würden Sie vorschlagen?
S. Krempl:
Informationssicherheit lässt sich nicht verordnen. Die bestehende Gesetzgebung sollte daher ergänzt werden und die Verantwortung der Unternehmensführung für ihr Risikomanagement klarer betonen.

Unternehmen sollten zu mehr Eigenverantwortlichkeit angehalten werden, aber gleichzeitig klare Vorgaben und branchenspezifische Maßstäbe für ihr Risikomanagement erhalten.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
S. Krempl:
Diese Kritik kann ich nicht nachvollziehen. Das Gesetz ist in seiner Intention und dem Weg, wie die Ziele erreicht werden sollen, relativ klar. Die Definition, welche Unternehmen als kritische Infrastrukturen betrachtet werden sollen, wurde klar kommuniziert und eine konkrete Benennung der betroffenen Unternehmen wird zum Jahresende auf dem Verordnungswege erfolgen.

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
S. Krempl:
Wir benötigen eine Gesetzesnovelle, die die Verantwortung der Unternehmensführung und ein individuelles Risikomanagement in den Fokus stellt. Damit würden die gesetzlichen Forderungen vom Kopf – den Maßnahmen – auf die Füße – das Risikomanagement – gestellt.

Gleichzeitig sollten für alle relevanten Sektoren spezifische Vorgaben zur Erhebung, Bewertung und Behandlung der Risiken vorgegeben werden.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
S. Krempl:
Bei den 2.000 größten Unternehmen mit kritischen Infrastrukturen, deren Ausfall zu „Gefährdungen für die öffentliche Sicherheit“ führen würde, stehen die zu erwartenden Kosten in einem vertretbaren Verhältnis zur Bedeutung der Firmen.

Schwierig ist die Lage für mittelständische Energieversorger wie Gemeindewerke. Gemäß der im Gesetz erwähnten branchenspezifischen Vorgaben der BNetzA müssen sie eine ISO/IEC 27001 Zertifizierung durchführen. Für sie fallen hier schnell Kosten im sechsstelligen Bereich an, wenn sie ihre Zertifizierungs-Vorbereitung mit Beratungsunternehmen durchführen, die sonst auf Großunternehmen spezialisiert sind.

Eine deutliche Entlastung erzielen mittelständische Unternehmen mit einer individuell angepassten Umsetzung der Normforderungen. Aus unserer Erfahrung lassen sich so die externe Kosten auf deutlich unter fünfzigtausend Euro senken.

IT-DIRECTOR: Welche drei Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
S. Krempl:

  1. Zunächst Gelassenheit – denn für die meisten Unternehmen hat das Gesetz keine gravierenden Auswirkungen. Die von der Regelung zu kritischen Infrastrukturen betroffenen Unternehmen werden bis Jahresende durch eine Rechtverordnung bestimmt. Ob Sie dazu gehören oder nicht, würde ich in aller Ruhe auf mich zukommen lassen.
  2. Die Änderung des TMG betrifft nahezu alle Unternehmen mit Webauftritt. Die neuen Anforderungen sind überschaubar, müssen aber gemäß der konkreten Situation im Unternehmen bewertet und umgesetzt werden.
  3. Energieversorgungsunternehmen sollten sich baldmöglichst mit der bevorstehenden Zertifizierung nach ISO/IEC 27001 beschäftigen und alternative Angebote von Beratungsunternehmen einholen. Die Unterschiede bei Aufwand und Kosten können beträchtlich sein.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok