Kolumne

IT-Sicherheitsgesetz [Teil 3]

Tipps & Tricks für die Praxis

Stefan Sulistyo [Alyne]30.08.2015, 09:00

Im zweiten Teil dieser Serie haben wir gelernt, was eigentlich zu tun ist, um sich an das IT-Sicherheitsgesetz zu halten und welche Konsequenzen bei Nichtbefolgung drohen. Abschließend möchte ich dazu noch meine persönliche Einschätzung darlegen, sowie dem geneigten Leser ein paar Tipps & Tricks mit auf den Weg geben, was man auch jetzt so oder so tun sollte, um sich zu schützen und damit dann gleichzeitig auch für dieses Gesetz gewappnet ist.

Schon während der ganzen Entwurfsphase war das Gezeter in der Industrie natürlich erstmal groß wegen der unklaren Spezifizierung wer Kritische Infrastruktur betreibt, was die genauen Standards sind und dass die Meldepflichten von Vorfällen ohne Auswirkungen wertlos seien und nur Kosten bei allen Beteiligten verursachen würden. Dies konnte man dann auch schon an den durch die kontinuierliche Lobbyarbeit immer weiter aufgeweichten Entwürfen entnehmen.

Und ich habe da selbst noch im letzten Job entsprechende "Talking Points" ins virtuelle Notizbuch der "Regulatory Affairs"-Juristen diktiert, um über die Branchenverbände Einfluss auf die Gedankenfindung in der Casa "IT-Sicherheitsgesetz" zu nehmen.

Aber sind wir doch mal ehrlich, auch wenn es in Details noch Schwächen gibt, sind das alles Punkte, die durch die Security-Zunft schon seit Jahren gepredigt werden und daher halte ich das Ganze auch für einen Schritt in die richtige Richtung.

Meine Gedanken zu den angeblich fehlenden Standards habe ich oben schon dargelegt. Auch die Kritik bezüglich der unklaren Definition von Kritischen Infrastrukturen halte ich für verfehlt. Das ist doch ein klarer Fall von "you know it, when you see it". Es mag da ein paar unklare Randfälle geben, aber bei gefühlt 95+% der Betreiber empfinde ich es als sehr eindeutig, ob sie da jetzt unter diese Definition fallen sollen oder nicht.

Die aktuellen OWis halte ich aber zumindest bei den großen Firmen für Papiertiger. Diese sind entweder eh schon so weit, dass sie die Standards erfüllen, oder sie werden sich durch 50.000 EUR auch nicht wirklich beeindrucken lassen.

KMUs (hallo Telemedienanbieter) kann das jedoch auch leicht mal das Genick brechen. Wie sieht es in solchen Fällen eigentlich mit der Geschäftsführerhaftung aus?

Das Vertrauen der Bevölkerung ist zumindest derzeit zutiefst erschüttert, wie auch eine aktuelle Umfrage von YouGov zeigt: 70 Prozent der Befragten, traut der deutschen Regierung nicht zu, dass sie Cyber-Attacken erfolgreich abwehren können. Den deutschen Unternehmen vertrauen sie da nur unwesentlich mehr (64 Prozent glauben es nicht).

Der erste Schritt, um nachhaltige Schritte zur Verbesserung zu erreichen, liegt immer erst einmal darin, dass man sich entsprechende Ziele setzt. Und genau dafür ist dieses Gesetz geeignet. In vier Jahren soll die Effektivität zudem wissenschaftlich untersucht werden und dann werden wir mal weitersehen. In der Zwischenzeit gibt es auch noch ein paar Kleinigkeiten, die mich zumindest schmunzeln lassen:

  • Das BKA ist jetzt zuständig für die Verfolgung von § 202a-202c (Vorbereiten und Durchführen des Ausspähens und Abfangens von elektronischen Daten), 263a (Computerbetrug) und 303a (Datenveränderung). Bisher war das in der Verantwortung der Länder und wer einmal versucht hat, Cyber-Crime vor Gericht zu bringen, kennt die haare-raufende Verzweiflung, wenn sich Staatsanwälte und Richter nicht einigen können, in welchem Bundesland jetzt genau der Tatort ist (Sitz der betroffenen Firma, Wohnort des Täters, Server-Standort usw.) und sich monatelang den schwarzen Peter gegenseitig hin- und herschieben.
  • Die zuständigen Behörden bekommen 20 Millionen EUR mehr Budget und teilweise deutlich zweistellige neue Planstellen (office politics anyone?).
  • Der BSI Präsident wird auf Besoldungsstufe B7 gehoben und bekommt damit mindestens 500 EUR mehr Gehalt.

Was kann ich jetzt schon tun?

Wie bereits dargelegt, gibt es noch ein paar Unklarheiten bzgl. des Anwendungsbereichs und der genauen Vorgaben. Es wäre jedoch jetzt unsinnig, bis zur weiteren Ausgestaltung zu warten und bis dahin nichts zu tun. Einige Punkte können hier klar empfohlen werden, da sie zu allgemeinen guten Praktiken der Informationssicherheit gehören und unabhängig von Gesetzen und Strafandrohungen durchgeführt werden sollten, um die Risiken für das eigene Unternehmen unter Kontrolle zu halten.

Tipps & Tricks

Eigene Risikoanalyse, ob man erwarten kann, zu den kritischen Infrastrukturbetreibern gezählt zu werden;

Orientierung an gängigen Industriestandards (ISO/IEC 27001);

Regelmäßige Zertifizierung und Auditierung nach diesen Standards;

Identifizierung der "Kronjuwelen" und der Prozesse mit dem höchsten Schutzbedarf, Abschottung dieser Prozesse und Assets von denen mit geringerem Schutzbedarf, sowie Fokussierung der Schutz- und Überwachungsmaßnahmen auf die Hoch-Risiko Themen;

Kontaktwege zu den Behörden aufbauen, auch wenn man (noch) nicht dazu verpflichtet ist. Dies geht beispielsweise über die Allianz für Cyber-Sicherheit direkt beim BSI oder bei manchen Landesverfassungsschutzbehörden (beispielsweise Cyber Allianz Zentrum des Bayerischen Verfassungsschutzes). Dabei dafür sorgen, dass die Behörden wissen, wie sie das eigene Security Operations Center jederzeit erreichen können und umgekehrt. Dies ist besonders wichtig, da ein großer Teil der Advanced Persistent Threat (ATP) Angriffe nicht durch die Unternehmen selbst entdeckt wird, sondern durch Hinweise von Geheimdienst- und Strafverfolgungsbehörden.

Rahmenverträge verhandeln mit spezialisierten Incident Response Firmen wie beispielsweise Mandiant, Verizon Security oder Corporate Trust, um diese im Fall der Fälle schnell und unbürokratisch einsetzen zu können.

Autor:

Stefan Sulistyo, Co-Founder & CCO of Alyne, 10+ year InfoSec & GRC veteran.

IT-Sicherheitsgesetz [Teil 1]: Kritische Infrastrukturen sicher machen

IT-Sicherheitsgesetz [Teil 2]: Zahnloser Tiger vor dem Sprung?

[ Bildquelle: © igor - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Das unterschätzte Katastrophenszenario

Europaweiter "Blackout"

Herbert Saurugg06.12.2017, 17:56

In den letzten Monaten häufen sich die Berichte über einen mögliches Strom- und Infrastrukturausfall beziehungsweise über die Vorbereitungsmaßnahmen verschiedener Organisationen und Kreise. Der...

Studie

Enterprise Risk Management

Risikomanagement im Spiegel deutscher Fachbücher

Jan Braunschmidt | Christina Trageser | Leonhard Knoll17.11.2017, 10:10

Risikomanagement hat als Subdisziplin im Grenzbereich zwischen Betriebswirtschaftslehre und angewandter Mathematik/Statistik seit der Jahrhundertwende eine immer größere Bedeutung erlangt. Dies gilt...

News

RiskNET Summit 2017: Nachlese, 2. Tag

Kultur, Methoden, Chancenmanagement

Redaktion RiskNET27.10.2017, 23:32

"Wo Kriegsgewinnler Hummer essen." So titelt es aktuell Spiegel Online und nennt den Ort "Warlord City in Somalia". Dort, wo im Country Club der somalischen Hauptstadt Mogadischu...

News

RiskNET Summit 2017: Nachlese, 1. Tag

Vom gelebten Risikomanagement …

Redaktion RiskNET25.10.2017, 06:30

"Es könnte alles so einfach sein …" sang die Gruppe "Die Fantastischen Vier" schon vor Jahren. Und die Jungs folgern in ihrem Song: "Ist es aber nicht". Das Lied verrät...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...