Interview zum IT-Sicherheitsgesetz

Was KRITIS-Betreiber beachten und dem BSI melden müssen

| Redakteur: Stephan Augsten

Security-Insider: Welche Rolle spielt der IT-Grundschutz nach dem ISO-27001-Standard? Sollten alle betroffenen Unternehmen ein Information Security Management System – kurz ISMS – einführen und sich zertifizieren lassen?

Eitel: Die Einführung und Umsetzung eines ISMS ist grundsätzlich zu befürworten, ganz gleich, ob das Unternehmen nun zur KRITIS-Kategorie gehört oder nicht. Solange die Rechtsverordnung hier noch keine klaren Aussagen trifft, sollten sich Unternehmen im Rahmen ihrer Branche um die Entwicklung eigener Standards bemühen und diese Branchenstandards dann durch das BSI genehmigen lassen.

Eine Zertifizierung nach ISO 27001 ist sicherlich nützlich, aber aus heutiger Sicht nicht verpflichtend. Innerhalb der Branchen sollten Unternehmen vielmehr die eigenen Gefährdungen ihrer IT-Infrastruktur und geeignete Sicherheitsmaßnahmen definieren. Wenn diese umgesetzt und regelmäßig von neutraler Stelle auditiert werden, ist dem Anspruch des Gesetzes Genüge getan.

Nur so kann ein aktives Sicherheitsmanagement realisiert und nachgewiesen werden. Da das IT-Sicherheitsgesetz eine Meldepflicht der Unternehmen definiert, sollte auch nachgewiesen werden, dass trotz umfänglicher Maßnahmen ein Schadensfall eingetreten ist und man sich so nicht der Fahrlässigkeit schuldig macht.

Security-Insider: Soviel zu den großen Betreibern. Wie sieht es mit den kleinen Betrieben aus, die zum Beispiel als Zulieferer agieren oder nicht als KRITIS-Unternehmen – trotz kritischer IT-Infrastrukturen – eingestuft werden?

Eitel Ohne abschließende Definition, welche Unternehmen dazugehören, kann hier wenig gesagt werden. Für ein IT-Sicherheitsgesetz hätte ich mir einen größeren Wurf vorstellen können, der die IT-Sicherheit grundsätzlich für alle Unternehmen verpflichtet, dazu ist es leider nicht gekommen. Alle Unternehmen, die sich an die Bestimmungen halten müssen, sollten im Rahmen ihrer IT-Sicherheitskonzeptionen natürlich auch auf ihre Zulieferer achten!

Kritische Prozesse müssen grundsätzlich beleuchtet werden, und die kleinen Unternehmen und Zulieferer sollten schon aus Marketinggründen für eine sichere IT-Konzeption sorgen ¬– nennen wir es Wettbewerbsvorteil. Die IT-Sicherheit vielleicht noch unabhängig zertifizieren zu lassen, wäre natürlich noch besser und stabilisiert die eigenen internen Prozesse und die der KRITIS-Auftraggeber umso mehr.

Security-Insider: Was denken Sie persönlich über das IT-SiG? Ist es Ihrer Meinung nach angemessen oder fehlen Anforderungen?

Eitel: Ich hätte mir, wie gesagt, einen umfangreicheren Entwurf zur IT-Sicherheit vorgestellt. Hier werden wieder nur einzelne und noch nicht qualifiziert benannte Unternehmen unter Androhung hoher Geldbußen gezwungen, einen noch nicht definierten Katalog zu erfüllen. Ein solches Gesetz zu verabschieden, ohne dass die Adressaten und Maßgaben klar benannt werden, ist aus meiner Sicht unangemessen und verfrüht. Zumal das Parlament zum Zeitpunkt des Beschlusses am 24. Juli 2015 unter einem massiven Hackerangriff stand.

Nur vier Wochen zuvor ist ein Trojaner in das IT-Netz der Bundestags eingeschleust worden, der vermutlich alle Computer des Netzes befallen hatte. Selbst das BSI, das ja nun mit dem neuen Gesetz mit erheblich mehr Rechten und Pflichten ausgestattet worden ist, konnte für die Sicherheit nicht mehr garantieren.

Genau in diesem Zeitraum ein noch nicht ausgereiftes Gesetz gegen Opposition, viele Verbände und gute Einwände zu beschließen, sollte uns zu denken geben. Aber grundsätzlich ist es natürlich wichtig, den ersten Schritt in Richtung IT-Sicherheit gegangen zu sein; nach der Evaluation in vier Jahren wird sich hoffentlich zeigen, ob dies der richtige Ansatz war.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43809440 / Compliance und Datenschutz )