Anonymisierte Informationen nicht hilfreich

Sicherheitskonzepte überarbeiten

Warum Dietmar Kenzle, Area Vice President DACH & Eastern Europe bei Imperva, eine anonymisierte Meldepflicht im Rahmen des IT-Sicherheitsgesetzes nicht für hilfreich hält, berichtet er im Interview.

Dietmar Kenzle, Area Vice President DACH & Eastern Europe bei Imperva, über anonymisierte Meldepflicht im Rahmen des IT-Sicherheitsgesetzes.

IT-DIRECTOR: Herr, Kenzle, die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen durch das jüngst verabschiedete IT-Sicherheitsgesetz zu den sichersten der Welt werden, wie beurteilen Sie dieses Vorhaben?
D. Kenzle:
In Anbetracht der digitalen Risiken ein erstrebenswerter Ansatz. Doch wird es nicht einfach sein, die Kurzlebigkeit in der digitalisierten Welt mit der eher schwerfälligen Gesetzgebung in Einklang zu bringen.

IT-DIRECTOR: Wird Deutschland auf diese Weise wirklich sicherer?
D. Kenzle:
Teilweise. Die neue Gesetzgebung wird helfen, kritische IT-Umgebungen weiter abzusichern. Investitionen müssen für die Absicherung der kritischen Umgebungen und Assets priorisiert werden.

IT-DIRECTOR: Das Gesetz beinhaltet die Meldepflicht von Angriffen auf das IT-System von Unternehmen, was halten Sie davon?
D. Kenzle:
Einem erfolgreichen Angriff auf IT-Systeme folgt in der Regel ein Diebstahl von digitalen Assets (z.B. Kreditkartendaten etc.). Betroffene Personen haben den Anspruch und das Recht, darüber informiert zu werden. Ein weiterer Missbrauch der Daten muss unbedingt verhindert werden.

IT-DIRECTOR: Ist eine anonyme Meldepflicht sinnvoll?
D. Kenzle:
Nein, anonyme Informationen sind an dieser Stelle nicht hilfreich, denn anonyme Informationen lassen zu viel Spielraum für Mutmaßungen und Gerüchte, was in unterschiedlichen Fällen zu negativen Auswirkungen führen kann (z.B. Reputationsverlust). Ganz zu schweigen von Unternehmen, welche nicht betroffen sind.

IT-DIRECTOR: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
D. Kenzle:
Das bleibt eine sehr spannende Frage. Es wird sich zeigen, inwieweit Unternehmen bereit sind, der Gesetzesvorgabe zu folgen, oder bevorzugen, entsprechende Strafzahlungen zu leisten.

IT-DIRECTOR: Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen, bevor diese vom BSI abgesegnet werden. Wenn damit heute begonnen wird, sind diese in zwei Jahren nicht schon überholt?
D. Kenzle:
Zwei Jahre im digitalen Zeitalter ist eine lange Zeitspanne. Jedoch wird der Kern mit dem Schutz von kritischen Umgebungen eine zentrale Rolle spielen. Somit sind zwei Jahre sicherlich ein langer Zeitraum, aber komplexe und unternehmenskritische Umgebungen erfordern ein sehr gut durchdachtes Konzept für deren Absicherung. Von Planung bis Umsetzung und finale Abnahme werden zwei Jahre sehr schnell vergehen.

IT-DIRECTOR: Welche Alternative würden Sie vorschlagen?
D. Kenzle:
Generell muss es im Grundinteresse der Unternehmen und jeweiligen IT-Sicherheitsverantwortlichen sein, kritische IT-Umgebungen und sensible Daten vor dem Zugriff von Dritten abzusichern. Deshalb müssen sich Unternehmen mit der Einführung von überarbeiteten Sicherheitskonzepten auseinander setzen – unabhängig von gesetzlichen Vorschriften.

IT-DIRECTOR: Kaum ist das Gesetz verabschiedet, regen sich Kritiker, das Gesetz sei lückenhaft und zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?
D. Kenzle:
Ich sehe dies als konstruktive Kritik. Denn in einer schnelllebigen digitalen Welt ändern sich nicht nur die Anforderungen an Mensch und Maschine, sondern auch an die Gesetzgebung. Auch hier ist ein Umdenken und schnelleres Handeln erstrebenswert.

IT-DIRECTOR: Welche Aspekte fehlen Ihrer Meinung nach? In welchen Bereichen halten Sie Nachbesserungen für notwendig? Welche konkreten Vorgaben fehlen?
D. Kenzle:
Leider enthalten zu viele Gesetze ‚Grauzonen‘ – so auch hier. Es ist wünschenswert, Unternehmen möglichst konkret für die Absicherung von kritischen Umgebungen in die Pflicht zu nehmen.

IT-DIRECTOR: Wie stehen Sie zu den Kosten, die auf Unternehmen zukommen?
D. Kenzle:
Unternehmen haben in den vergangenen Jahren sehr viel Geld in die Absicherung der IT-Infrastruktur ausgegeben. Jedoch wurde dabei in nur wenigen Fällen die veränderte Bedrohungslage berücksichtigt. Investitionen wurden in Bereichen getätigt, welche das IT-Sicherheitsniveau nicht wirklich verbessert haben. Hier ist eine genaue Bedarfsanalyse der Risiken und vorhandener Infrastruktur der IT-Security erforderlich.

IT-DIRECTOR: Welche Ratschläge geben Sie Unternehmensverantwortlichen mit Blick auf das IT-Sicherheitsgesetz?
D. Kenzle:
Allein die Tatsache, dass sich der Staat mit der Einführung einer gesteigerten Gesetzgebung beschäftigt ist ein eindeutiges Signal der Wichtigkeit. Unternehmen mit kritischen Infrastrukturen sollten demnach proaktiv an die Absicherung ihrer Umgebungen herangehen. Kommt es zu einem erfolgreichen Angriff und sensible Unternehmensdaten gelangen in die falschen Hände, kann dies erhebliche Einwirkungen auf den Fortbestand des Unternehmens haben.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok