Die Gesetzeslage in der EU

Das Schwierige bei der Umsetzung der neuen Anforderungen des IT-Sicherheitsgesetzes ist die momentane Rechtsunsicherheit, ob - und wenn ab wann - man zu den betroffenen Unternehmen gehört. Wenn nicht, kann die allgemeine Spannung genutzt werden, aus den Best Practises der Betroffenen zu lernen und sich die Prozesse und Tools herauszupicken, die die eigene Landschaft am besten widerspiegelt. Aber auch dann gilt es, die Business Owner im Rahmen der notwendigen Analyse zu beraten und mit dem Risiko vertraut zu machen, das deren Prozess oder Use Case für die Unternehmung bedeutet.

Der Ansatz, durch Security Awareness entsprechendes Verständnis bei den Business Ownern zu bekommen, ist letztlich die einzig sinnvolle Vorgehensweise. Denn Compliance ist nicht Security! Das ist auch der falsche Antrieb. Sobald die Erkenntnis durchgesickert ist, wird auch schnell der Mehrwert von Daten und Schutz derselben erkannt. Werden dazu die potentiellen Strafen (vier Prozent des weltweiten Umsatzes) korreliert, bekommt man die nötige Unterstützung des Leitungsteams und die Umsetzung der Schutzmaßnahmen wird zügig durchgeführt.

Bei der angesprochenen Risikoanalyse bietet es sich an, standardisierte Fragenbögen und Listen zu verwenden, da dadurch eine weitgehende Harmonisierung erreicht und eine bessere Vergleichbarkeit gewährleistet werden kann. Sind die Use Cases entsprechend dem Risiko bewertet, ist das weitere Vorgehen recht simples Nachverfolgen der Aktivitäten und Prüfen der Effizienz der einzelnen Maßnahmenpakete.

Das IT-Sicherheitsgesetz verlangt von den betroffenen Unternehmen explizit die Sicherstellung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer gesamten IT-Infrastruktur. Hierbei wird generell in technische und organisatorische Maßnahmen unterschieden. Ein Gesetz wirkt nun immer so gut oder sicher, wie für die Einhaltung desselben gesorgt werden kann. Hierfür fordert das Gesetz einen „geeigneten“ Nachweis welcher spätestens alle zwei Jahre zu erbringen ist.

Damit ein Audit oder Nachweis schnell und reibungslos erfolgen kann, ist die Dokumentation der bestehenden IT-Landschaft unabdingbar. Eine zentrale Rolle kommt hierbei dem Asset-Management und der Netzwerkplanung zu - bevor ich etwas schützen kann, muss ich erst einmal wissen, was ich zu schützen habe. Bei vielen Unternehmen herrscht hier echter Nachholbedarf. Ein Asset-Management ist in den seltensten Fällen vollständig, aktuell und korrekt geführt. Oft ist solch ein Asset-Management noch nicht einmal vorhanden.

Eine gut geführte Dokumentation ist also eine Grundvoraussetzung für ein erfolgreiches Audit. Für jedes Netzwerk sollte mindestens ein Layer-3-Netzwerkplan vorhanden sein. Dieser bildet eine weitere, entscheidende Grundlage für ein Audit. Die „Best Pratice“ für die erfolgreiche Umsetzung der Forderungen aus dem IT-Sicherheitsgesetz bildet also eine gute, umfangreiche und detaillierte Dokumentation der bestehenden IT-Landschaft. Hierfür kann auch die Einführung eines ISMS Pate stehen, dies wäre z.B. für eine Zertifizierung nach ISO 27001 ohnehin notwendig.

Sind die formalen Vorrausetzungen geschaffen, kann anhand dieser die vorhandene Technik nachgeführt werden. Hierzu gehört z.B. die dokumentationskonforme Einrichtung des Firewall-Regelwerks ebenso wie das „härten“ von Server Betriebssystemen. Nach wie vor weitestgehend unterschätzt wird aber die organisatorische Seite und hierbei insbesondere die „Schwachstelle Mensch“. So genügt es nicht nur, eine Policy für E-Mail und Internet oder Passwortrichtlinien etabliert zu haben, es muss auch sichergestellt werden, dass diese von den betreffenden Personen eingehalten werden.

Insbesondere bei Kritis wird es notwendig sein, mit entsprechenden Bildungsmaßnahmen das notwendige Sicherheitsbewusstsein zu schaffen. Dies beginnt damit, den Menschen klar zu machen, dass Passwörter – insbesondere bei Kritis – nicht aufgeschrieben werden sollten. Oder dass man, wenn nicht anders möglich, wenigstens technische Möglichkeiten aufzeigt, wie man mit einer Vielzahl komplexer Passwörter umgehen kann.

Dem Bereich „Security Awareness“ wird also eine völlig neue Bedeutung zukommen. Ferner wird man sich gerade im Zugangsberechtigungsbereich von dem leider immer noch weit verbreiteten „ein Faktor“-Lösungen verabschieden müssen: hier sind mindestens zwei Faktoren z.B. etwas das man hat oder besitzt (Magnetkarte, Token, etc.), etwas das man weiß (Passwort, PIN, etc.) unabdingbar. Bei besonders kritischen Systemen sollte man unbedingt über drei Faktoren (z.B. zusätzlich Biometrie) nachdenken. Nur wenn es gelingt, technische, organisatorische und menschliche Faktoren in eine Balance zu bringen, wird ein effektiver Schutz von Kritis nach dem IT-Sicherheitsgesetz gelingen.

Die EU-Richtlinie über Netz- und Informationssicherheit wird in Österreich durch ein IT-Sicherheitsgesetz umgesetzt werden. Gewisse Unternehmen werden unter Strafandrohung dazu verpflichtet werden, risikoangemessene Maßnahmen zur Gewährleistung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der verarbeiteten Daten sowie der angebotenen Dienste zu implementieren. Außerdem werden diese Unternehmen dazu verpflichtet, Sicherheitsvorfälle zu melden. Diese Pflichten werden allerdings nur für bestimmte Unternehmen gelten.

Erstens werden die österreichischen Behörden konkrete Unternehmen benennen, die für die Gesellschaft wesentliche Dienste in den Bereichen Energie, Verkehrswesen, Bank- und Finanzwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Domain-Name-Registries) erbringen. Zweitens werden die Pflichten für alle Betreiber eines Online-Marktplatzes, einer Online-Suchmaschine oder eines Cloud-Computing-Dienstes gelten. Ob die neuen Regeln tatsächlich effektiv sein werden, hängt nicht zuletzt davon ab, welchen Behörden die Zuständigkeit für ihre Durchsetzung zugewiesen wird.

Nachdem im letzten Jahr das IT-Sicherheitsgesetz verabschiedet wurde, ist vielen Unternehmen nicht klar, ob sie betroffen sind und was das jetzt praktisch für sie bedeutet. Das hat auch der Gesetzgeber erkannt und deshalb per Rechtsverordnung diese Zuordnung ermöglicht und Konkretisierungen durch die Branchenverbände empfohlen.

Vergleichbar mit dem Datenschutz ist damit praktisch jedes Unternehmen mit mehr als zehn IT-Mitarbeitern und einer kommerziellen Webpräsenz betroffen und in den nächsten knapp zwei Jahren zur zeitnahen und angemessenen Umsetzung von Sicherheitsmaßnahmen sowie zur Meldung aller Vorfälle gezwungen. Hilfestellung geben derzeit viele Wirtschaftsprüfer und Beratungshäuser, das aber mehr aus dem Interesse heraus eigene Leistung zu verkaufen, als wirklich bei der Frage der Angemessenheit zu helfen.

Eine ISO-27001-Zertifizierung ist sicher in vielen Fällen mit Kanonen auf Spatzen geschossen. Juristen wittern dagegen die nächste Abmahnquelle, weil die Umsetzung vermeintlich ungeeignet ist. Es bleibt zu hoffen, dass aus dem Gesetz mehr Rechts- und Umsetzungssicherheit gestaltet wird, da sonst die Gefahr groß ist, das viele Unternehmen eben eher nichts machen oder Kosmetik betreiben, frei nach dem Motto: „Dann machen wir doch lieber das mit den Fähnchen.“