:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Countdown zum IT-Sicherheitsgesetz Melde- und Nachweispflicht für KRITIS-Betreiber
Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mit der 2014 verabschiedeten Digitalen Agenda will die deutsche Bundesregierung den digitalen Wandel aktiv begleiten und mitgestalten, um die Zukunftsfähigkeit des Landes zu sichern. Ein wichtiger Baustein ist das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG), das die gesetzlich verbindliche Etablierung eines Mindestniveaus an IT-Sicherheit zum Gegenstand hat. Davon betroffen sind Unternehmen aus den Sektoren Energie, Wasser, Informationstechnik, Telekommunikation, Ernährung, Finanzen, Transport, Verkehr und Gesundheit, die kritische Infrastrukturen, sogenannte KRITIS, betreiben.
Die Umsetzung des IT-Sicherheitsgesetzes erfolgt in zwei Phasen: Zunächst sind nur KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen, die anderen ziehen später nach. Ab Mai 2016 hatten die Betroffenen sechs Monate Zeit, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle für Vorfallsmeldungen zu nennen. Zudem müssen sie ihre IT bis Mai 2018 nach dem Stand der Technik absichern, etwa nach nationalen oder internationalen DIN- oder ISO-Standards. Schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen – sowohl für Verbraucher als auch für Wirtschaft und Staat.
:quality(80)/images.vogel.de/vogelonline/bdb/1286900/1286922/original.jpg "Mit dem IT-Sicherheitsgesetz soll die IT-Sicherheit in Deutschland gestärkt werden. (Pixabay)")
Verantwortlichkeit für IT-Sicherheit
Unternehmen und das IT-Sicherheitsgesetz
Einführung eines Informations-Sicherheits-Management-Systems
Einhergehend mit dem Gesetz zur Steigerung der Sicherheit informationstechnischer Systeme sind neue Pflichten zur Erhöhung von Abwehrmaßnahmen sowie Nachweis- und Meldepflichten. Zudem müssen KRITIS-Betreiber als Mindeststandard ein Informations-Sicherheits-Management-System (ISMS) einführen, mit dem sie Sicherheitsrisiken und IT-Störungen überwachen, bewerten, steuern und melden können. Hierfür sind:
- ein Nutzstrukturplan zu erstellen, der die schutzbedürftigen Komponenten des eigenen Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und Schnittstellen umfasst.
- eine Schutzbedarfsanalyse durchzuführen, die die Ziele der Informationssicherheit berücksichtigt (Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit).
- ein IT-Sicherheitsbeauftragter zu bestellen, der die Koordination, Verwaltung und Kommunikation der Informationssicherheit übernimmt.
- ein Zertifikat zu erwerben, das die Konformität des ISMS mit der Norm ISO/IEC 27001 bestätigt.
Transparente Dokumentation der Maßnahmen
Mit der bloßen Einführung eines ISMS ist es aber nicht getan. Ebenso wichtig ist die Dokumentation der vorgenommenen sicherheitsrelevanten Anpassungen. Ohne eine transparente Dokumentation laufen Unternehmen Gefahr, gegen Compliance-Richtlinien zu verstoßen. Sie müssen jederzeit nachweisen können, dass sie sich mit den erforderlichen Maßnahmen zum Management von IT-Risiken auseinandergesetzt und dass sie die verbindlichen Vorgaben des IT-Sicherheitskatalogs umgesetzt haben. Auch für den Fall eines Cyberangriffs ist sauber zu dokumentieren, dass die betroffenen IT-Systeme gemäß IT-Sicherheitsgesetz aufgestellt sowie geschützt sind und dass das BSI über den Vorfall korrekt informiert wurde. Sind Betreiber von KRITIS dazu nicht in der Lage, drohen Bußgelder in Höhe von bis zu 100.000 Euro. Am einfachsten kommen Unternehmen der Dokumentationspflicht mit einem professionellen Dokumentenmanagement-System (DMS) nach. Es leistet insbesondere in drei Bereichen, die unmittelbar mit der Umsetzung der Vorgaben des IT-Sicherheitsgesetzes verknüpft sind, wertvolle Unterstützung: bei der Erstellung, Verbreitung und Archivierung von Dokumenten.
Dokumente direkt im DMS erstellen
Allein bei der Einführung des ISMS und bei der Erarbeitung des Netzstrukturplans entstehen Unmengen verschiedenster Dokumente: Anforderungsanalysen, Lastenhefte, Zeitpläne, Protokolle, Technologie-, Prozess- und Schnittstellenbeschreibungen etc. Ohne ein DMS würden Unternehmen die benötigten Dokumente am PC erstellen, bearbeiten und finalisieren, ausdrucken, ggf. unterschreiben lassen, versenden und/oder in einer Akte ablegen bzw. einscannen und digital ablegen – ein höchst zeitraubendes und zugleich fehleranfälliges Vorgehen. Wesentlich effizienter ist eine integrierte Dokumentenerstellung: Mitarbeiter erstellen die benötigten Dokumente direkt im DMS, etwa innerhalb einer Vorgangsbeschreibung, speichern sie an selbiger Stelle und versenden sie bei Bedarf direkt aus dem System heraus per E-Mail an einen Adressaten wie das BSI oder die Zertifizierungsstelle. Weiterhin sichert ein DMS die Aktualität von Dokumenten, indem sich Wiedervorlagen zur Überprüfung individuell einstellen lassen. So müssen KRITIS-Betreiber nicht nur ihre IT-Systeme in definierten Zeiteinheiten überprüfen, sondern auch die Menschen, die damit arbeiten. Insbesondere international tätige Unternehmen müssen die persönlichen Daten ihrer Beschäftigten regelmäßig gegen die EU-Anti-Terror-Verordnungen oder Sanktionslisten (EU-Verordnungen) abgleichen. Auch hier sorgt ein DMS für die nötige Transparenz: Es zeigt auf, welcher Mitarbeiter wann kontrolliert wurde und wo die entsprechenden Dokumente hinterlegt sind.
Compliance-Richtlinien erfüllen
Selbstverständlich ist insbesondere bei gesetzlichen Vorgaben, wie sie das IT-Sicherheitsgesetz macht, auf Compliance unbedingt zu achten. Um auf der sicheren Seite zu sein, müssen KRITIS-Betreiber gewährleisten können, dass nicht nur Entwürfe und nachträgliche Veränderungen von Dokumenten vollständig dokumentiert und jederzeit nachvollziehbar sind, sondern auch die Mitarbeiter, die die Dokumente erstellt bzw. verändert haben. Denn üblicherweise sind an der Erstellung von Dokumenten viele Mitarbeiter aus verschiedenen Unternehmensbereichen beteiligt. Ein DMS speichert sämtliche Versionen eines Dokuments samt Metadaten in der Historie – von der Bearbeitungszeit über den ausführenden Mitarbeiter bis hin zu den eigentlichen Änderungen.
Datenschutzbestimmungen einhalten
Beinhaltet ein Dokument persönliche Daten, sind die geltenden Datenschutzbestimmungen einzuhalten: Der Betroffene muss der Erhebung und Verarbeitung seiner personenbezogenen Daten zustimmen – zumal Unternehmen jene Daten nur zweckgebunden verarbeiten dürfen. Ein DMS bietet rechtskonforme Dokumentenvorlagen und erlaubt die recht- und zweckmäßige Verarbeitung persönlicher Daten, da sich bestimmte Felder voreinstellen lassen. Darüber hinaus dürfen Dokumente nicht allen Mitarbeitern zugänglich sein, sondern nur jenen, die sie benötigen, um eine bestimmte Aufgabe zu erfüllen. Über ein Berechtigungssystem lässt sich festlegen, welche Personen oder Personengruppen auf welche Dokumente wie lange zugreifen dürfen – von bloßen Leserechten bis hin zu Bearbeitungs- oder Freigabebefugnissen.
Meldepflicht: Dokumente aus dem DMS heraus verbreiten
Ein wesentlicher Vorteil eines DMS besteht darin, dass Unternehmen Dokumente samt relevanten Unterlagen direkt aus dem System heraus per E-Mail verschicken können. Insbesondere im Falle von Cyberattacken oder IT-Störungen ist das fundamental wichtig. Damit der integrierte E-Mail-Versand auch während eines Angriffs funktioniert, sollten KRITIS-Betreiber das DMS in einer geschützten Umgebung offline betreiben: in ihrem eigenen Rechenzentrum und Netzwerk. Nur dann können sie Sanktionen entgehen und ihrer Pflicht nachkommen, erhebliche Störungen ihrer IT zu melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Adressat der Meldung ist das BSI als zentrale Melde- und Aufsichtsstelle. Das DMS sorgt für einen sicheren Workflow, indem der verantwortliche Mitarbeiter per Mausklick alle Informationen zur Störung oder zum Angriff an das BSI übermitteln kann. Die aus der Meldung gewonnenen Erkenntnisse stellt das BSI sowohl den übrigen KRITIS-Betreibern als auch den zuständigen (Aufsichts-)Behörden zur Verfügung, sodass sie ihre IT-Systeme adäquat schützen bzw. entsprechende Maßnahmen einleiten können. Auch bei der Erfüllung der Meldepflicht ist Compliance sehr wichtig: Über das DMS können Unternehmen jederzeit transparent nachweisen, dass sie sich korrekt verhalten und welche Maßnahmen sie eingeleitet haben, um zukünftigen Störungen oder Cyberattacken vorzubeugen.
DMS unterstützt (Re-)Zertifizierung
Mit dem Erwerb eines Zertifikats können KRITIS-Betreiber die Wirksamkeit und Normenkonformität ihrer IT-Systeme nachweisen und dokumentieren, dass sie die Vorgaben des IT-Sicherheitskatalogs umgesetzt und eingehalten haben. Die Zertifizierung ist zwei Jahre gültig und erfordert eine Re-Zertifizierung durch eine akkreditierte Zertifizierungsstelle. Um diesen Termin nicht zu versäumen, verfügt ein DMS über eine zuverlässige Fristenkontrolle: Zu einem definierten Zeitpunkt vor dem Ablaufdatum erhält der zuständige Mitarbeiter eine Erinnerung per E-Mail, sodass er die Re-Zertifizierung in die Wege leiten kann. Lässt er die Frist verstreichen, wird sie automatisch an den Nebenverantwortlichen eskaliert. Auch bei der eigentlichen Zertifizierung leistet ein DMS praktische Unterstützung. Der Verantwortliche erstellt definierte Aufgabenlisten und weist sie den entsprechenden Kollegen zu. Nach Erfüllung der Aufgabe markieren sie die Tasks als „erledigt“ und speichern sie samt abgearbeiteter Aufgabenliste in der Dokumentation. So ist sichergestellt, dass alle für die Re-Zertifizierung benötigten Dokumente rechtzeitig vorbereitet und zusammengestellt sind.
Nachweispflicht: Dokumente langfristig archivieren
Die Nachweispflicht ist zentraler Aspekt des IT-Sicherheitsgesetzes. KRITIS-Betreiber müssen mittels Zertifizierung gegenüber dem BSI alle zwei Jahre nachweisen, dass ihre IT-Systeme dem Stand der Technik entsprechen. Ein DMS bietet umfassende Möglichkeit zur Langzeitarchivierung von Dokumenten aller Art: von Netzstrukturplan und Schutzbedarfsanalyse über Datenschutzhandbücher und Informationen zum IT-Sicherheitsbeauftragten bis hin zu Zertifikaten, Qualitätssicherungsnachweisen und Vorfallsmeldungen. Da Anwender die Dokumente mit aussagekräftigen Tags und Metadaten versehen können, sind sie später schnell und unkompliziert auffindbar. Ein Maximum an Sicherheit gewähren bedarfsgerecht wählbare Sicherheitsstufen für die Dateiablage. Auch bei der Archivierung ist auf den Schutz personenbezogener Daten zu achten, etwa mittels Pseudonymisierung und Verschlüsselung. Obwohl Unternehmen personenbezogene Daten prinzipiell nur so lange speichern dürfen, wie für die Erfüllung des verbundenen Zwecks nötig ist, gibt es Ausnahmen, wie etwa Archivierungszwecke. In einem DMS lassen sich automatisierte Workflows zur Prüfung der jeweiligen Zweckbindung anlegen. Sind die nötigen Datenschutz-Anforderungen erfüllt, dient die Langzeitarchivierung als Grundlage für die Erstellung detaillierter Analysen und aussagekräftiger Auswertungen: Wie viele Angriffe gab es? Wann ist eine Attacke geschehen? Welches Ausmaß hatte eine Störung? Etc. Daraus können KRITIS-Betreiber wichtige Schlüsse für den zukünftigen Schutz ihrer IT ziehen – und sind zugleich rechtlich auf der sicheren Seite.
Über den Autor: Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer von Forcont Business Technology, ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus, und ist seit 1976 in der IT-Branche tätig. Matthias Kunisch ist zudem Mitglied des Vorstandes des Cloud-EcoSystem e.V.
(ID:45150350)
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")