Skip to main content
main-content

01.12.2016 | IT-Sicherheitsgesetze | Im Fokus | Onlineartikel

Unternehmen erfüllen IT-Sicherheitsgesetz noch nicht

Autor:
Sven Eisenkrämer

Viele Unternehmen haben Probleme, Mindeststandards in der IT-Sicherheit einzuhalten. Nur ein Viertel sieht sich selbst in der Lage, Auflagen des IT-Sicherheitsgesetzes zu erfüllen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt die in Deutschland gültigen Standards zur Erfüllung des 2015 verabschiedeten IT-Sicherheitsgesetztes fest. Nach einer aktuellen Untersuchung des Sicherheitssoftware-Anbieters Cyberark sieht sich jedoch nur ein Viertel der Betreiber so genannter kritischer Infrastrukturen in der Lage, die vom Gesetzgeber und dem BSI geforderten Mindestanforderungen zum Schutz von Systemen und Daten einzuhalten. Nach dem jüngsten Cyber-Angriff, der fast eine Million DSL-Router von Telekom-Kunden lahmlegte, bekommt die Debatte zusätzlichen Wind. Auch die Bundesregierung betonte nochmals, wie notwendig die Umsetzung der kürzlich vorgestellten Cyber-Sicherheitsstrategie ist. 

Empfehlung der Redaktion

2016 | Buch

IT-Sicherheitsmanagement nach der neuen ISO 27001

ISMS, Risiken, Kennziffern, Controls

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der neuen Fassung der Norm ISO/IEC 27001. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung.


Bei der Cyberark-Untersuchung wurden in Deutschland Betreiber kritischer Infrastrukturen zu ihren Vorbereitungen hinsichtlich des neuen IT-Sicherheitsgesetzes befragt. Nur 25 Prozent sind demnach bereits ausreichend gerüstet, um die Anforderungen des Gesetzes umfassend erfüllen zu können. 45 Prozent geben an, sich gegenwärtig im Prozess der Vorbereitung zu befinden. Im Umkehrschluss bedeuteten diese Zahlen laut Cyberark aber auch, dass sich 30 Prozent mit dem Thema überhaupt noch nicht auseinandergesetzt oder noch kein entsprechendes Sicherheitsprojekt gestartet haben. Michael Kleist, Cyberarks Regional Director für Deutschland, Österreich und die Schweiz, bewertet die Zahlen als "schon etwas beunruhigend". Das im Juli 2015 in Kraft getretene Gesetz fordert von Betreibern kritischer Anlagen aus den Bereichen Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, innerhalb von zwei Jahren Mindeststandards in der IT-Sicherheit zu erfüllen – also bis Mitte 2017.

Gesetzliche Anforderungen sind abstrakt gehalten

Dennis-Kenji Kipker und David Pfeil von der Universität Bremen schreiben zum IT-Sicherheitsgesetz in der neuen Ausgabe der Springer-Zeitschrift "DuD – Datenschutz und Datensicherheit": "Im Schwerpunkt sieht es zwei Maßnahmen zur Verbesserung der Sicherheitslage vor: die Einführung eines technisch-organisatorischen Mindeststandards (TOM) für Betreiber Kritischer Infrastrukturen […] sowie eine Meldepflicht an das BSI im Falle sicherheitskritischer Vorfälle […]." Die Umsetzung dieser abstrakten gesetzlichen Anforderungen sei in technischer Hinsicht zurzeit noch nicht zweifelsfrei konkretisiert, schreiben die Forscher im Artikel "IT-Sicherheitsgesetz in Theorie und Praxis" und untersuchen in einer Falltudie am Beispiel eines Betreibers kritischer Infrastrukturen, welche technisch-organisatorischen Maßnahmen konkret zur möglichst effektiven Implementierung der Cyber-Sicherheitsstrategie beitragen können und wo besondere Probleme in der Umsetzung zu verorten sind.

Kein einheitlich hoher Sicherheitsstandard

Kipker und Pfeil bestätigen darin die Grundaussage der Cyberark-Untersuchung. Auch mehr als ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes könne "noch nicht von einem einheitlich hohen IT-Sicherheitsstandard ausgegangen werden. So wäre für den untersuchten Fall keine Zertifizierung nach ISO 27001 möglich gewesen."


Einen Überblick zur ISO 27001 und ihren Unternormen, an denen die Mindeststandards des BSI ausgerichtet sind, liefert das Buch IT-Sicherheitsmanagement nach der neuen ISO 27001 von Heinrich Kersten, Gerhard Klett, Jürgen Reuter und Klaus-Werner Schröder. Die Springer-Autoren geben darin Unternehmen Tipps zur Umsetzung einer Sicherheitsstrategie, beispielsweise zu den Themen Risikomanagement und Gefahrenanalyse, Awareness samt Sensibilisierung des Personals sowie Audits und Zertifizierungen.


Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

24.11.2016 | Internetkriminalität | Im Fokus | Onlineartikel

Botnets klauen Identitäten

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Unternehmen haben das Innovationspotenzial der eigenen Mitarbeiter auch außerhalb der F&E-Abteilung erkannt. Viele Initiativen zur Partizipation scheitern in der Praxis jedoch häufig. Lesen Sie hier  - basierend auf einer qualitativ-explorativen Expertenstudie - mehr über die wesentlichen Problemfelder der mitarbeiterzentrierten Produktentwicklung und profitieren Sie von konkreten Handlungsempfehlungen aus der Praxis.
Jetzt gratis downloaden!

Bildnachweise