Kommentar zum IT-Sicherheitsgesetz

Vorbeugen ist besser als reagieren

| Autor / Redakteur: René Leitz* / Peter Schmitz

„Im IT-Sicherheitsgesetz lauern versteckte Chancen“, meint René Leitz, Teamleiter Product Development bei G+H Systems in seinem Kommentar.
„Im IT-Sicherheitsgesetz lauern versteckte Chancen“, meint René Leitz, Teamleiter Product Development bei G+H Systems in seinem Kommentar. (Bild: fotohansel - Fotolia.com)

Das viel diskutierte IT-Sicherheitsgesetz trat am 25.07.2015 in Kraft. Viele Unternehmen sehen nur den schweren Rucksack, den sie sich nun zusätzlich aufschnallen müssen, um gesetzesgemäß zu arbeiten. Dabei stecken große Chancen in den neuen Security-Regularien, man muss sie nur erkennen, meint René Leitz.

Per IT-Sicherheitsgesetz sind Firmen zukünftig an gewisse „Mindeststandards für die IT-Sicherheit“ gebunden, die unter Prüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) freigegeben werden. Bei den Mindeststandards ist die Rede von „Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informations-technischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der betriebenen kritischen Infrastrukturen maßgeblich sind".

Die Gesetzestexte wirken fast schon einschüchternd. Dabei ist es doch eigentlich mit den heutigen technischen Möglichkeiten kein Hexenwerk, seine IT-Infrastruktur gesetzesgemäß abzusichern. Interessant ist hier aber eine ganz grundsätzliche Frage: Warum müssen Firmen eigentlich vom Staat dazu gezwungen werden, mehr Wert auf ihre IT-Sicherheit zu legen? Verantwortliche sollten das Gesetz weniger als Herausforderung begreifen. Denn im IT-Sicherheitsgesetz lauern versteckte Chancen, sich für die Zukunft zu rüsten.

“Hallo wach!“ für Unternehmen

Bei der Absicherung der internen IT-Infrastruktur liegt der Fokus auf der Prävention. Größere Schäden wie z.B. Betriebsspionage können vermieden werden. Keine Chance mehr für Datendiebstahl und ähnliche Delikte? Nun, so weit sind wir noch nicht. Angreifer werden kreativer und finden neue Wege, das heißt aber nicht, dass man ihnen nicht das Leben so schwer wie möglich machen sollte.

Ich bin der Meinung, dass der vorbeugende Ansatz für Unternehmen besser ist als die ansonsten üblichen forensischen Analysen oder Echtzeitüberprüfungen des Netzwerks. Solche reaktiven Vorgänge decken nur das auf, was bereits passiert ist – ein teilweise irreparabler Schaden für die Firma. Daher empfehle ich, Mechanismen einzubinden, die aktiven Schutz ermöglichen, z.B. Schutz vor innerbetrieblicher Manipulation durch kürzlich ausgeschiedene Angestellte. Manipulative Vorgänge von außen können nicht nur Compliance-Schäden, sondern auch enorme finanzielle Schäden zur Folge haben.

Produktiver arbeiten und Gewinne erzielen

In diesem Bereich werden Access Governance-Lösungen nach wie vor unterschätzt oder unwissentlich als große Investition gesehen. Dabei sind solche Lösungen ein hilfreiches, wenn nicht das hilfreichste Werkzeug, um das größte Unternehmensrisiko einzudämmen: den Faktor Mensch. Die Software spürt Netzwerknutzer/Mitarbeiter auf, die nicht mehr im Unternehmen beschäftigt sind bzw. keine Berechtigung für bestimmte Lizenzen haben sollten. Durch diese Aufdeckung können teilweise erhebliche Lizenzkosten eingespart werden. Darüber hinaus erhöhen die unterstützenden Managementlösungen maßgeblich die Effizienz der Mitarbeiter. Ohne dieses Software-Hilfsmittel sind Mitarbeiter nicht selten über Wochen damit beschäftigt, die vorgeschriebenen Prüfungen vorzubereiten. Jener Aufwand fällt durch den kontinuierlichen Einsatz einer Access Governance-Lösung weg. Die Mitarbeiter können sich stattdessen auf andere Dinge konzentrieren, und die Produktivität steigt.

Oft wird vergessen, dass Firmen durch kontinuierliche Access Governance-Prüfungen auch ihre Risikorückstellungen reduzieren, die für den Fall von IT-bedingten, finanziellen Einbußen gebildet wurden. Diese „ungewissen Verbindlichkeiten“ können in der Bilanz gekürzt werden, was positive Auswirkungen auf den Gewinn des Unternehmens hat.

René Leitz ist Teamleiter Product Development bei der G+H Systems GmbH.
René Leitz ist Teamleiter Product Development bei der G+H Systems GmbH. (Bild: G+H Systems)

Demnach bringt der von mir bevorzugte vorbeugende Sicherheitsaspekt nicht nur langfristige Vorteile für die IT-Infrastruktur, sondern auch für die Finanzbuchhalter. Diese Vorteile begründen meiner Meinung nach auch die größten Chancen des neuen IT-Sicherheitsgesetzes.

Über den Autor

*René Leitz ist als Teamleiter Product Development bei der G+H Systems GmbH in Offenbach tätig. Das Unternehmen ist unter anderem im Bereich der Berechtigungsanalyse aktiv. Durch Access Governance-Tools ermöglicht G+H, potenzielle Risiken bzw. Angriffsflächen im Umfeld der Berechtigungszuweisungen von vornherein zu reduzieren oder gar zu eliminieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43959264 / Compliance und Datenschutz )