Security-Pflichten im Unternehmen

Das geplante IT-Sicherheitsgesetz und seine Folgen

14.01.2015 von Michael Rath und Christian Kuss  
Die Bundesregierung will kritische Infrastrukturen wie Energie- und Telekommunikationsnetze besser vor Cyberangriffen schützen. Im Raum steht ein IT-Sicherheitsgesetz, das Unternehmen diverse Pflichten auferlegt. Was heißt das konkret?

Über die Gefahren, die bei mangelnder IT-Sicherheit bestehen, wird täglich ausführlich berichtet. Und es gibt reichlich IT-Sicherheitsprodukte, angefangen von DLP (Data Loss Prevention) über NGF (Next Generation Firewalls) bis zu Endpoint Protection (EP) und SIEMs (Security Information and Event Management). Trotzdem werden gerade gezielte Cyber-Spionage-Angriffe ("Advanced Persistant Threats") erst nach Monaten überhaupt entdeckt (der Durchschnitt liegt laut Verizon Breach Report von 2013 bei 243 Tagen). Die Komplexität dieser Angriffe wurde jüngst durch die "DarkHotel"-Angriffe verdeutlicht.

Verizon DBIR 2014 - Neun Grundmuster
Diverse Fehler wie etwa das Senden einer E-Mail an den falschen Empfänger
Angriffe auf Web-Anwendungen
Crimeware (verschiedene Malware versucht, die Kontrolle über ein System zu erlangen)
Missbrauch durch Insider
physikalischer Diebstahl / Verlust
Denial of Service-Angriffe
Cyberspionage
Angriffe auf den Point of Sales
Skimming von Zahlungskarten

Um das Risiko, Opfer eines solchen Angriffs zu werden, und um die Folgen eines solchen Angriffs aufzufangen, ist der Gesetzgeber aktiv geworden. Ein IT-Sicherheitsgesetz soll die notwendige IT-Securityfür für kritische Infrastrukturen gesetzlich verordnen. Kritische Infrastrukturen sind in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu finden. Der deutsche Gesetzgeber zieht den Anwendungsbereich damit weiter, als dieser in der zugrundeliegenden europäischen NIS-Richtlinie vorgesehen ist.

Vor allem die Anbieter von Informationstechnik sind nun ausdrücklich vom Anwendungsbereich erfasst. Sie werden deshalb in zweifacher Hinsicht von dem neuen Gesetz berührt: als Dienstleister für Unternehmen aus den relevanten Sektoren müssen sie – aufgrund vertraglicher Übereinkunft mit ihren Kunden – die sektorspezifischen Anforderungen, beispielsweise aus den Bereichen Energie oder Finanzwesen erfüllen. Gleichzeitig werden sie als Betreiber Kritischer Infrastrukturen (KI-Betreiber) eingestuft, sodass sie aus diesem Grund die sektorspezifischen Vorgaben für IT-Dienstleister umsetzen müssen.

Wer ist konkret betroffen?

Einzelheiten zum Anwendungsbereich und zum Adressatenkreis werden in einer Rechtsverordnung festgelegt. Die Gesetzesbegründung führt dazu aus, dass die Rechtsverordnung qualitativ bestimmte Leistungen als kritisch einstuft und zudem Schwellenwerte festlegt. Dies ist misslich. Denn aus dem Gesetz lässt nicht entnehmen, welche Unternehmen von dem neuen Gesetz betroffen sein werden. Insbesondere mittelständische Unternehmen werden erst nach Erlass der Rechtsverordnung Rechtssicherheit erhalten.

Das geplante IT-Sicherheitsgesetz bedarf an einigen Stellen noch einer Klarstellung.
Foto: Kzenon - Shutterstock.com

Inhaltlich verpflichtet das Gesetz Unternehmen dazu, einen Mindeststandard an IT-Sicherheitsmaßnahmen einzuführen. Wie genau dieser Mindeststandard aussehen soll, ist derzeit noch nicht klar. Der Mindeststandard soll im Nachgang durch ein Expertengremium ermittelt werden. Aktuell spricht viel dafür, dass sich der Mindeststandard an den Vorgaben der ISO-Normen und des BSI-Grundschutzes orientieren wird. Die Einhaltung des Mindeststandards muss regelmäßig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden.

12 Tipps für eine schlanke ISO 27001-Einführung
Fürsprecher in der Chefetage gewinnen
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.
Branchenspezifische Anforderungen
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.
Nicht nur ein Zertifikat besitzen wollen
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.
Mit einer GAP-Analyse beginnen
In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich.
Unrealistische Projektierungszeiten vermeiden
Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren.
Schlanke Realisierungsmethoden nutzen
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.
Augenmaß bei der Komplexität
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.
Keine standardisierte Policy anderer nutzen
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.
Ausufernde Dokumentationen vermeiden
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.
Für ein breites ISMS-Verständnis sorgen
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.
Geschäftsleitung in die Schulungen einbeziehen
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.
Frühzeitig für eine KVP-Kultur sorgen
In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss.

(Tipps zusammengestellt von der mikado AG)

Anonym oder nicht?

Ferner sieht das Gesetz eine Pflicht zur Meldung von Cyber-Security-Incidents vor. Bereits bei einer potenziellen Bedrohung für die Kritische Infrastruktur muss eine Meldung an das BSI erfolgen, wobei hier der Name des KI-Betreibers nicht genannt werden muss. Kommt es aber zu einer tatsächlichen Beeinträchtigung, ist der KI-Betreiber namentlich zu nennen.

Der aktuelle Vorschlag des Gesetzes führt über eine Änderung des Telemediengesetzes die Vorratsdatenspeicherung wieder "durch die Hintertür" ein. Die Vorratsdatenspeicherung, ursprünglice als Pflicht von Telekommunikationsanbietern vorgesehen, wurde bekanntlich durch das Bundesverfassungsgericht für grundrechtswidrig und damit unzulässig erklärt. Der neue Vorstoß verpflichtet die Betreiber von Telemedien, insbesondere also die Betreiber von Web-Seiten, dennoch wieder zur anlasslosen Speicherung von IP-Adressen für einen Zeitraum von sechs Monaten. Dies steht im Widerspruch zu den Vorgaben des Bundesverfassungsgerichtsurteils. Da die Diskussion insoweit erst begonnen hat, bleibt abzuwarten, ob und inwieweit dieser Vorschlag letztlich verabschiedet werden wird.

Compliance-Anforderungen

Das IT-Sicherheitsgesetz entsteht nicht auf der grünen Wiese. Schon jetzt mangelt es nicht an regulatorischen Anforderungen in Bezug auf IT-Compliance und IT-Security. Man kann diese jedoch auf einige wesentliche Maßnahmen der IT-Sicherheit beschränken und dadurch bei konsequenter Umsetzung schon ein hohes Compliance-Niveau erreichen. Entsprechend dem Detaillierungsgrad der unternehmensspezifischen Anforderungen müssen diese Anforderungen dann gegebenenfalss in Teilstücken weiter ausgebaut werden. Auch sind regulatorische Interessenskonflikte zu lösen, denn die ausführlichen Logfiles bei der Deep Packet Inspection eines SIEM stehen oft nicht in Einklang mit geltendem Datenschutzrecht.

Governance-, Risk- and Compliance-Tools, auch für Facebook und Cloud
IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.
RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.
RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.
Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.
NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.

Für eine wirtschaftliche Umsetzung der Anforderungen ("Return of Security Investment") ist es mithin erforderlich, auf Basis der Ergebnisse einer Risikoanalyse die notwendigen Themen zu implementieren. Dies sollte in einer Organisation mit einheitlicher Dokumentation und unter Nutzung spezieller miteinander verbundener (gemappter) Standards erfolgen (beispielsweise COBIT, UCF). Was aber müssen Unternehmen wirklich tun? Es kann sich insofern auch für Unternehmen der Privatwirtschaft lohnen, sich an den soogenannten "Basismaßnahmen der Cyber-Sicherheit" des BSI zu orientieren. In dem 11-seitigen Papier gibt es auch eine Checkliste, die allerdings für IT-Sicherheitsexperten oft trivial, dagegen für die Unternehmensleitung ohne Hilfe von Experten kaum verständlich sein wird. Wichtig ist es daher, zur Erreichung der notwendigen IT-Compliance und IT-Sicherheit ein multidisziplinäres Team vorzusehen. Dann kann auch die Geschäftsführung sicher sein, das Richtige zum Schutz des Unternehmens getan zu haben. (sh)

Im Folgenden haben wir die zehn wesentlichen Bereiche der IT-Compliance noch einmal kurz und übersichtlich zusammengestellt: