:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheitsgesetz 2.0 Unternehmen im besonderen öffentlichen Interesse
Der aktuelle Entwurf des IT-Sicherheitsgesetz 2.0 sieht vor, dass nicht nur Unternehmen und Organisationen, die zu den kritischen Infrastrukturen (KRITIS) gehören, Vorkehrungen treffen müssen, um Störungen ihrer IT-Systeme zu vermeiden. Jetzt kommen „Unternehmen im besonderen öffentlichen Interesse“ neu hinzu. Diese müssen zwar nicht so viele Anforderungen wie die KRITIS-Einrichtungen erfüllen, sind in Zukunft aber auch gezwungen, in dieser Hinsicht aktiv zu werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Die betroffenen „Unternehmen im besonderen öffentlichen Interesse“ sind im Wesentlichen Rüstungshersteller, Raumfahrtunternehmen, Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen, große Unternehmen, die deswegen volkswirtschaftliche Bedeutung haben, sowie Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung, also beispielsweise Chemieunternehmen. Für letztere herrschen andere Anforderungen, dazu später mehr.
:quality(80)/images.vogel.de/vogelonline/bdb/1796600/1796637/original.jpg "Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden und in denen die IT-Systeme von Unternehmen besonderen Schutz benötigen. (MH - stock.adobe.com)")
IT-Sicherheit in den KRITIS-Branchen
Deutschlands kritische Infrastrukturen
Die neuen Anforderungen
Diese Institutionen müssen nach dem IT-Sicherheitsgesetz 2.0 eine Selbsterklärung für ihre IT-Sicherheit vorlegen. Aus der muss hervorgehen, welche Sicherheitszertifizierungen sie in den letzten zwei Jahren durchgeführt haben (mit Prüfgrundlage und Geltungsbereich). Außerdem muss sie darüber aufklären, welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich IT-Security in den letzten beiden Jahren durchgeführt wurden (auch hier mit Prüfungsgrundlage und Geltungsbereich). Zudem müssen sie angeben, wie die besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgesichert werden (mit Einhaltung des Stands der Technik).
Neben der genannten Selbsterklärung müssen sie außerdem noch eine zu Geschäftszeiten erreichbare Stelle benennen und Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit melden.
Diese Anforderungen sollen dafür sorgen, dass die IT-Sicherheit in Deutschland auf ein höheres Niveau gehoben wird. Ist dieser Ansatz aber wirklich sinnvoll, oder schafft er nur überflüssige zusätzliche Arbeit? Kann das Sammeln der ganzen Daten sogar schädlich sein? Verbände wie der BITKOM stehen der ganzen Sache skeptisch gegenüber. Deswegen sprachen wir über diese Thema mit Sebastian Artz, Referent für Informationssicherheit und Sicherheitspolitik beim BITKOM.
Die Ansicht des BITKOM
Herr Artz wies uns in dem Gespräch darauf hin, dass der BITKOM von der Einführung der "Unternehmen im besonderen öffentlichen Interesse" als einzelstaatliche Quasi-KRITIS-Kategorie abgeraten habe. Die Gründe dafür ergaben sich weniger aus dem zusätzlichen Arbeitsaufwand, sondern vielmehr aus der Vielzahl an ungeklärten Fragen.
Zunächst einmal ist in diesem Zusammenhang die Unterscheidung in verschiedene Cluster zu nennen, in die die "Unternehmen im besonderen öffentlichen Interesse" nochmals unterteilt werden. So steht beispielsweise noch überhaupt nicht fest, welche Unternehmen als „Unternehmen von volkswirtschaftlicher Bedeutung“ – als eines der Cluster – gelten sollen. Es wird auf das Gutachten der Monopolkommission verwiesen. Genaueres soll allerdings erst später in einer Rechtsverordnung spezifiziert werden.
Ein weiteres Problem mit den „Unternehmen im besonderen öffentlichen Interesse“ ist neben der zusätzlichen Bürokratie nach Ansicht des BITKOM auch die Akkumulierung von vielen wichtigen Informationen und Dokumenten über Prozesse und Infrastrukturen, die in Summe betriebskritische Informationen darstellen, nicht zuletzt was die Zertifizierungsthemen angeht. Zusätzlich muss man sich die Frage stellen, ob die genannten Maßnahmen überhaupt eine Verbesserung des IT-Sicherheitsniveaus mit sich bringen. Hier sind Zweifel angebracht.
Ein zentrales Problem, dass sich auf dem IT-Sicherheitsgesetz 2.0 ergibt: die unzureichende Harmonisierung auf der europäischen Ebene. „Der Entwurf einer neuen europäischen NIS-Richtlinie ist nicht– wie es wünschenswert wäre – deckungsgleich in dem Sinne, dass die Umsetzung der NIS-Richtlinie 2.0 dann gar kein großer Akt mehr wäre“, so Herr Artz. „Stattdessen haben wir in der NIS-Richtlinie die neue Unterscheidung zwischen ‚Essential Entities‘, was in etwa den deutschen KRITIS-Organisationen entspricht und den neu eingeführten ‚Important Entities‘, bei denen noch nicht klar ist, ob das die Unternehmen im besonderen öffentlichen Interesse beschreibt.“
Abgesehen davon gibt es im europäischen Entwurf noch eine ganze Menge zusätzlicher Unternehmen, die der Entwurf des IT-Sicherheitsgesetz 2.0 überhaupt nicht erfasst. Wenn diese mit der Einführung der NIS-Richtline übernommen werden, könnte das ein IT-Sicherheitsgesetz 3.0 erforderlich machen. Zu den in diesem Zusammenhang genannten Unternehmen gehört beispielsweise ein Großteil des Manufacturing-Sektors. Das würde dann nochmal eine enorme Ausweitung des Geltungsbereichs des IT-Sicherheitsgesetzes mit sich bringen und es würden noch viel mehr Unternehmen unter das IT-Sicherheitsgesetz fallen. Die Ausweitung des Geltungsbereichs kann sinnvoll sein, muss aber unter Kritikalitätsgesichtspunkten begründ- und nachvollziehbar sein.
(ID:47332642)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913874/original.jpg "BDO nutzt Künstliche Intelligenz und Maschinelles Lernen, um Anwender vor Hackingangriffen zu warnen. (peshkov - stock.adobe.com)")