Unstrittig ist die Erkenntnis, dass unser Leben und unsere Gesellschaft immer vernetzter wird, und diese Vernetzung inzwischen einen Umfang erreicht hat, bei der Störungen oder Angriffe unsere Gesellschaft direkt gefährden können - denken wir nur an Themen wie Energieversorgung, Ernährung und das Finanzwesen. Darüber hinaus bewegen sich immer mehr Bürger selbstverständlich im Internet, kaufen dort ein oder beziehen Dienstleistungen, hierzu hinterlassen sie persönliche Informationen im Netz, die geschützt werden müssen.
Das IT-Sicherheitsgesetz greift also zwei ganz wesentliche Bereiche auf - den Schutz kritischer Infrastrukturen (KRITIS) sowie den Schutz der Verbraucher, die Dienste aus dem Internet beziehen.
- Patch-Management
Werden IT-Verantwortliche sicher noch in einigen Unternehmen finden: Ältere Systeme mit möglicherweise veraltetem Betriebssystem und nicht mehr ganz aktuellen Softwareständen. Hier beispielsweise ein Fax-Kommunikationsserver mit FRITZ!fax auf Basis von Windows XP. - Informationspolitik
Wichtige Informationen: Namhafte Hersteller informieren über Pressemitteilungen, sobald sie neue Firmware bereitstellen. Für Altsysteme gilt dies leider nicht und kann zur Gefahr für die eigene Infrastruktur werden. - Versionen
Entscheidend für den Überblick: Die Versionsstände von Aktivkomponenten sollten bekannt sein. - Aktivkomponenten
Wird im täglichen Betrieb gerne vergessen: Aktivkomponenten wie Switches müssen ebenso aktualisiert werden, wie Client- oder Server-Systeme, damit das gesamte Netzwerk sicher ist. - Zentraler Storage
Wichtig und wird leider häufiger vergessen: Zentrale Storage-Systeme wie Datei-Server können nur in geplanten „Downtimes“ aktualisiert werden. - Switches nicht vergessen
. Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein. - Aktualisierung von Exchange
Sollten Administratoren wissen, damit alle Teile der IT-Infrastruktur sicher sind: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Mit dem Gesetzentwurf erhalten diese Themen endlich die notwendige Beachtung, die sie auch verdienen. Gerade das letzte Jahr hat uns allen ja die permanente Bedrohungslage im Netz immer wieder vor Augen geführt. Dabei konzentrierte sich die Berichterstattung allzu oft nur auf einzelne (westliche) Geheimdienste. Wir dürfen aber nicht vergessen, dass die viel größeren Gefahren eher von kriminellen Vereinigungen ausgehen dürften. Und wir haben gelernt: was technisch an Angriffen machbar ist, wird auch gemacht - ob wir es bemerken oder nicht.
Aber wie kann ein Gesetz im hochdynamischen IT-Umfeld und den sich schnell verändernden Geschäftsmodellen formuliert sein, ohne schon morgen wieder als veraltet zu gelten? Hier kommen wir wieder zu dem seit Jahren zu beobachtenden Problem, dass sich Technik und Geschäftsmodelle viel schneller entwickeln als die dazu notwendigen gesetzlichen Rahmenbedingungen. Auch die Rechtsprechung läuft dem Stand der Technik teils um Jahre hinterher. Darüber hinaus leben wir von der Dynamik in diesem Bereich, ein Gesetz darf diese nicht "abwürgen".
Und so bleibt dem neuen IT-Sicherheitsgesetz nur, behördliche Rahmenbedingungen zu schaffen (Stärkung des BSI), kritische Sektoren zu benennen (Energie, Informationstechnik / Telekommunikation, Transport / Verkehr, Gesundheit, Wasser, Ernährung, Finanz- / Versicherungswesen), und diesbezüglich von den anbietenden Unternehmen hinsichtlich Schutz und Sicherheit den jeweiligen "Stand der Technik" und "angemessene Maßnahmen" einzufordern.
- 1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept. - 2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an. - 3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten. - 4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing. - 5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen. - 6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen. - 7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen. - 8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden. - 9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen. - 10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden. - 11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen. - 12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen. - 13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.
Einige mögen einwenden, dass dieses nun eher "windelweiche" Formulierungen sind, und sich nicht wirklich etwas ändern wird. Doch ich meine, dieser Entwurf geht in die richtige Richtung, schafft konkrete organisatorische Strukturen und formuliert klar, was die Regierung von den handelnden Unternehmen erwartet, ohne diese mit übermäßig engen und schnell veraltenden Vorschriften zu gängeln. Gesunder Menschenverstand und Verantwortungsbewusstsein kann Unternehmen ja schwerlich per Gesetz verordnet werden.
Während KRITIS Betreiber hiermit zumindest das Thema regelmäßig auf der Tagesordnung haben sollten, gibt es natürlich darüber hinaus zehntausende Unternehmen u.a. im deutschen Mittelstand, die ganz unabhängig von dem IT-Sicherheitsgesetz gehalten sind, ihre Infrastrukturen entsprechend aufzurüsten und abzusichern. KRITIS Betreiber oder Mittelstand - in allen Bereichen dürften wir in den meisten Fällen mit Maßnahmen zur eigenen digitalen Souveränität noch ganz am Anfang stehen - packen wir es also an! Gemeinsam kann es gelingen, Deutschland zu einem Land mit der sichersten IT-Infrastruktur zu machen. Das macht Deutschland nicht nur sicherer, sondern mit Sicherheit auch nachhaltig zu einem attraktiven, zukunftssicheren Standort - für IT-Unternehmen und andere Industrien. (rw)