:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance Lässt sich IT-Sicherheit per Gesetz vorschreiben?
Das IT-Sicherheitsgesetz kommt. Zwei Jahre nach dem ersten Entwurf des Bundesinnenministeriums wurde das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Dienste“ durch die große Koalition verabschiedet. Vor allem auf Betreiber sogenannter Kritischer Infrastrukturen kommen nun einige Pflichten zu.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Gesetz soll die IT-Sicherheit in Deutschland verbessern und erntete in der Vergangenheit trotz dieses hehren Zieles viel Kritik. Fünf Jahre zu spät und nicht weitreichend genug, beanstandete die Opposition, konnte den Beschluss aber nicht mehr verhindern.
Das Ziel des IT-Sicherheitsgesetzes klingt weitreichend: Es soll die IT-Sicherheit in Unternehmen, den Schutz der Bürgerinnen und Bürger im Internet und das BSI sowie das Bundeskriminalamt (BKA) stärken. Dennoch konzentrieren sich die Regelungen auf die Betreiber Kritischer Infrastrukturen (Kritis) wie z. B. Energieversorger und Telekommunikationsanbieter.
Was steckt im IT-Sicherheitsgesetz? Und was nicht?
Kurzum: Vor allem Betreiber von Infrastrukturen, von denen das Funktionieren unserer Gesellschaft in besonderem Maße abhängt, müssen ab sofort mehr für ihre IT-Sicherheit tun. Das IT-Sicherheitsgesetz verpflichtet sie dazu, „ein Mindestniveau an IT-Sicherheit einzuhalten und dem BSI IT-Sicherheitsvorfälle zu melden“.
Zwei Jahre bleiben den Betreibern kritischer Infrastrukturen nun noch Zeit, organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Mit Störungen meint der Gesetzgeber jeden negativen Einfluss auf die Verfügbarkeit, die Integrität, die Authentizität und die Vertraulichkeit der IT-Systeme und Daten.
In regelmäßigen Sicherheitsaudits muss das IT-Sicherheitsniveau nachgewiesen werden. Darüber hinaus sind die Unternehmen nun verpflichtet, Störfälle an das BSI zu melden und eine sogenannte Kontaktstelle einzurichten. Die Informationen laufen schließlich beim BSI zusammen, werden dort ausgewertet und den Betreibern wieder zur Verfügung gestellt.
Dass für die Einrichtung neuer Prozesse, für neue Technik und einen Mitarbeiter als Ansprechpartner Kosten entstehen, wird in der Erläuterung zum Gesetzentwurf lapidar so angekündigt: „Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist.“ Der anfallende Aufwand könne im Vorfeld jedoch nicht quantifiziert werden.
Die Rolle der Telko-Anbieter und Behörden
Das IT-Sicherheitsgesetz geht auch auf die Rolle der Telekommunikationsanbieter ein, sie seien in besonderem Maße für die Sicherheit im Cyberraum verantwortlich. Um die Bürgerinnen und Bürger besser zu schützen, verlangt das Gesetz IT-Sicherheit „nach dem Stand der Technik“.
Ziel ist es, dass das Fernmeldegeheimnis gewahrt bleibt, personenbezogene Daten sicher sind und die Systeme zuverlässig zur Verfügung stehen. Die Anbieter müssen zudem ihre Kunden warnen, wenn ihnen Angriffe auf die Anschlüsse der Nutzer auffallen. Natürlich sind sie auch verpflichtet, dies der Bundesnetzagentur und dem BSI zu melden.
Kritikern genügt das nicht
Vor allem der Opposition im Deutschen Bundestag und Datenschutzrechtlern geht das neue IT-Sicherheitsgesetz nicht weit genug. Angesichts der massiven Sicherheitslücken im IT-Bereich kritisierte die Fraktion Bündnis 90/Die Grünen, dass der Entwurf nicht bereits viel früher vorgelegt worden sei und dass das Gesetz sich nun weitestgehend auf die Betreiber Kritischer Infrastrukturen beschränke, die nicht einmal klar benannt seien.
Die Meldepflichten der öffentlichen Behörden empfinden die Oppositionspolitiker als unzureichend geregelt. Darüber hinaus stellen die Grünen die künftige Rolle des BSI in Frage. Das Ministerium soll künftig zur internationalen Zentralstelle für IT-Sicherheit ausgebaut werden und enger mit dem Bundeskriminalamt zusammenarbeiten.
Für beide Behörden sind zusätzliche Stellen geplant. Allerdings vertraue die Industrie dem BSI nicht im notwendigen Maße, sondern betrachte es mehr als Anhängsel des Bundesinnenministeriums, sagen die Oppositionspolitiker. Sie plädieren für eine unabhängige Behörde.
Und dann wäre da noch das Problem der Vorratsdatenspeicherung: Damit die Telekommunikationsanbieter ihrer Pflicht nachkommen können, die Nutzer über etwaige Angriffe zu informieren, speichern sie Daten auf Vorrat für die Dauer von wenigen Tagen bis zu sechs Monaten. Das IT-Sicherheitsgesetz weitet damit sogar das gültige Telekommunikationsgesetz (TKG) aus, welches bereits eine begrenzte Befugnis zur Vorratsdatenspeicherung zur Störungsabwehr enthält.
Nun sollen auch Angriffe über Botnetze und Spam besser abgewehrt werden können. Diese „freiwillige Vorratsdatenspeicherung“ hatten sowohl Bürgerrechtler als auch der Bundesrat im Vorfeld kritisiert, trotzdem wurde hier nicht nachgebessert.
Was Unternehmen jetzt konkret tun müssen
Da das IT-Sicherheitsgesetz für das geforderte „Mindestmaß an IT-Sicherheit“ nur den Rahmen definiert, müssen nun die betroffenen Firmen gemeinsam mit dem BSI und den verschiedenen Verbänden die Details aushandeln. Zwei Jahre bleiben insgesamt Zeit, bis die entsprechenden Maßnahmen umgesetzt sein sollen.
Im Kern geht es für Unternehmen darum, ihre IT-Sicherheit auf den neuesten Stand zu bringen und Prozesse rund um Sicherheitsaudit, Meldepflichten und Ansprechpartner zu etablieren. Dafür sind einige Analysen und organisatorische Maßnahmen notwendig, die Unternehmen zeitnah einplanen sollten: Eine umfassende Risikoanalyse klärt, welche Bereiche im Unternehmen als kritisch gelten.
Dabei geht es sowohl um die Sicherheit der eigenen Infrastruktur als auch um die Aufrechterhaltung der Dienste mit besonderem Wert für die Gesellschaft. Es gilt zu klären, was eigentlich genau bei Ausfällen passiert und welche Auswirkungen zu erwarten sind. Die besten Risiken sind die, die gar nicht entstehen.
Vorbeugenden Maßnahmen und Strategien kommt hier eine besondere Bedeutung zu: Wie lassen sich Risiken vermeiden oder wenigstens mindern? Und wie lässt sich dies im Rahmen von Sicherheitsaudits regelmäßig überprüfen? Schließlich sollten Unternehmen ihr bestehendes Krisenmanagement prüfen oder ein neues aufbauen. Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.
Wie es weiter geht
In vier Jahren soll das IT-Sicherheitsgesetz evaluiert werden. Da auch auf europäischer Ebene an einer Richtlinie zur IT-Sicherheit (NIS) gearbeitet wird, könnte es schon vor Ablauf dieser Frist notwendig werden, das IT-Sicherheitsgesetz nachzubessern.
Die Sprecher der Koalition werteten den Gesetzesbeschluss als wichtigen Schritt zur Stärkung der IT-Systeme in Deutschland. Und wie wichtig die Debatte um die IT-Sicherheit auf hoher Ebene ist, zeigen nicht zuletzt die jüngsten Hackerangriffe auf den Bundestag.
* Lutz Kolmey ist Senior IT-Managementberater bei mod IT Services.
(ID:43472199)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1943200/1943296/original.jpg "Das BSI hat eine offizielle Warnung vor Virenschutz von Kaspersky veröffentlicht. Der Anbieter reagiert darauf. (Thitichaya - stock.adobe.com)")