Interview zum IT-Sicherheitsgesetz

Was KRITIS-Betreiber beachten und dem BSI melden müssen

| Redakteur: Stephan Augsten

Security-Insider: Wie wird sichergestellt, dass die Auflagen kontinuierlich erfüllt werden? Beispielsweise durch regelmäßige Audits oder Ähnliches? Gibt es eine unabhängige Zertifizierungsstelle?

Eitel: Das BSI soll als Zentralstelle für IT-Sicherheit die Meldungen der Betreiber kritischer Infrastrukturen auswerten. Für die geplanten Mindestanforderungen wird nur ein Rahmen vorgegeben, die Details sollen von den betroffenen Firmen zusammen mit Verbänden und dem BSI festgelegt werden. Auch wenn man mit einer Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes gute Vorarbeit leisten kann, muss das nicht zwangsläufig zur Pflicht werden.

Solange noch keine nähere Qualifizierung stattgefunden hat und das BSI keinen eindeutigen Rahmen definiert, sollte von den Unternehmen nicht vorschnell agiert werden. Allerdings ist sicherlich jede qualifizierte, dokumentierte, standardisierte oder gar regelmäßig auditierte Maßnahme zur IT-Sicherheit von erheblichem Vorteil für die Zukunft.

Dabei ist es völlig gleich, ob das Unternehmen nun unter die KRITIS-Maßgaben fällt oder nur als Dienstleister für ein solches Unternehmen tätig ist. IT-Sicherheit sollte als Vorteil, als vertrauensbildende Maßnahme gesehen und gelebt werden statt als „notwendiges Übel“.

Security-Insider: Was raten Sie als Sachverständiger den betroffenen Unternehmen bzw. Betreibern? Wie sollten die ersten Schritte aussehen?

Eitel: Das IT-Sicherheitsmanagement ist analog zum Datenschutzmanagement und Qualitätsmanagement zu sehen. Letztlich ist auch in Bezug auf die IT zu betrachten: Was habe ich, was mache ich, funktioniert das auch erfolgreich, und, falls nicht, wie passe ich die Prozesse für eine Optimierung an? Das lässt sich beispielsweise in einem sogenannten PDCA-Zyklus abbilden, kurz für „plan – do – check – act“.

Wer sich mit dem IT-Sicherheitsmanagement von Grund auf beschäftigen muss, sollte sich zunächst ein Fundament im Unternehmen schaffen. Dazu zählen insbesondere die Festlegung von Zuständigkeiten, die Bereitstellung von Ressourcen und die Festlegung von strategischen Schutzzielen, die in einer Einrichtung erreicht werden sollen.

Im nächsten Schritt führt man eine Risikoanalyse für alle betrachteten Prozesse durch, bezogen auf einzelne Szenarien. Die Ergebnisse der Risikoanalyse werden mit den zuvor aufgestellten strategischen Schutzzielen abgeglichen und daraus notwendige Maßnahmen ermittelt. Die im Laufe der Zeit durchgeführten Maßnahmen nach Zwischenfällen werden turnusmäßig analysiert.

Ist das definierte Schutzziel nicht adäquat erreicht worden, passt man die Maßnahmen entsprechend an. Dieses System verläuft zyklisch weiter, sodass man von einem durchgehenden und sich idealerweise stets verbessernden Sicherheitsmanagement profitiert.

Man muss also das Rad nicht unbedingt neu erfinden. Wer schon ein Qualitätsmanagement im Unternehmen betreibt, kann sich hier mit IT-Sicherheitsprozessen direkt einbinden oder Strukturen übernehmen und das Wissen der Qualitätsmanager nutzen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43809440 / Compliance und Datenschutz )