Unternehmen erfüllen IT-Sicherheitsgesetz noch nicht

×

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt die in Deutschland gültigen Standards zur Erfüllung des 2015 verabschiedeten IT-Sicherheitsgesetztes fest. Nach einer aktuellen Untersuchung des Sicherheitssoftware-Anbieters Cyberark sieht sich jedoch nur ein Viertel der Betreiber so genannter kritischer Infrastrukturen in der Lage, die vom Gesetzgeber und dem BSI geforderten Mindestanforderungen zum Schutz von Systemen und Daten einzuhalten. Nach dem jüngsten Cyber-Angriff, der fast eine Million DSL-Router von Telekom-Kunden lahmlegte, bekommt die Debatte zusätzlichen Wind. Auch die Bundesregierung betonte nochmals, wie notwendig die Umsetzung der kürzlich vorgestellten Cyber-Sicherheitsstrategie ist. 

Bei der Cyberark-Untersuchung wurden in Deutschland Betreiber kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Nur 25 Prozent sind demnach bereits ausreichend gerüstet, um die Anforderungen des Gesetzes umfassend erfüllen zu können. 45 Prozent geben an, sich gegenwärtig im Prozess der Vorbereitung zu befinden. Im Umkehrschluss bedeuteten diese Zahlen laut Cyberark aber auch, dass sich 30 Prozent mit dem Thema überhaupt noch nicht auseinandergesetzt oder noch kein entsprechendes Sicherheitsprojekt gestartet haben. Michael Kleist, Cyberarks Regional Director für Deutschland, Österreich und die Schweiz, bewertet die Zahlen als "schon etwas beunruhigend". Das im Juli 2015 in Kraft getretene Gesetz fordert von Betreibern kritischer Anlagen aus den Bereichen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, innerhalb von zwei Jahren Mindeststandards in der IT-Sicherheit zu erfüllen – also bis Mitte 2017.

Gesetzliche Anforderungen sind abstrakt gehalten

Dennis-Kenji Kipker und David Pfeil von der Universität Bremen schreiben zum IT-Sicherheitsgesetz in der neuen Ausgabe der Springer-Zeitschrift "DuD – Datenschutz und Datensicherheit": "Im Schwerpunkt sieht es zwei Maßnahmen zur Verbesserung der Sicherheitslage vor: die Einführung eines technisch-organisatorischen Mindeststandards (TOM) für Betreiber Kritischer Infrastrukturen […] sowie eine Meldepflicht an das BSI im Falle sicherheitskritischer Vorfälle […]." Die Umsetzung dieser abstrakten gesetzlichen Anforderungen sei in technischer Hinsicht zurzeit noch nicht zweifelsfrei konkretisiert, schreiben die Forscher im Artikel "IT-Sicherheitsgesetz in Theorie und Praxis" und untersuchen in einer Falltudie am Beispiel eines Betreibers kritischer Infrastrukturen, welche technisch-organisatorischen Maßnahmen konkret zur möglichst effektiven Implementierung der Cyber-Sicherheitsstrategie beitragen können und wo besondere Probleme in der Umsetzung zu verorten sind.

Kein einheitlich hoher Sicherheitsstandard

Kipker und Pfeil bestätigen darin die Grundaussage der Cyberark-Untersuchung. Auch mehr als ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes könne "noch nicht von einem einheitlich hohen IT-Sicherheitsstandard ausgegangen werden. So wäre für den untersuchten Fall keine Zertifizierung nach ISO 27001 möglich gewesen."

×

Einen Überblick zur ISO 27001 und ihren Unternormen, an denen die Mindeststandards des BSI ausgerichtet sind, liefert das Buch IT-Sicherheitsmanagement nach der neuen ISO 27001 von Heinrich Kersten, Gerhard Klett, Jürgen Reuter und Klaus-Werner Schröder. Die Springer-Autoren geben darin Unternehmen Tipps zur Umsetzung einer Sicherheitsstrategie, beispielsweise zu den Themen Risikomanagement und Gefahrenanalyse, Awareness samt Sensibilisierung des Personals sowie Audits und Zertifizierungen.

×