Am 20. März beriet der Bundestag erstmalig über den im Dezember 2014 beschlossenen Gesetzesentwurf zum neuen IT-Sicherheitsgesetz. Mit dem Gesetz sollen bundesweite Mindeststandards in puncto IT-Sicherheit festgelegt werden.
Das Gesetz wird für alle Unternehmen gelten, „die für das Funktionieren unseres Gemeinwesens zentral sind“, heißt es im Entwurf. Gemeint sind Einrichtungen, die sogenannte „kritische Infrastrukturen“ betreiben. Darunter fallen Anlagen in den Branchen der Energieversorgung, Informationstechnik, Transport und Verkehr, der medizinische Versorgung, der öffentlichen Wasserversorgung, der Landwirtschaft, der Ernährung wie auch des Finanz- und Versicherungswesens. Rund 2.000 Unternehmen werden wohl betroffen sein. Vor der ersten Lesung wurde die Verfassungsmäßigkeit der Regelungen angezweifelt.
Nach dem Verlauf der Diskussionen ist zu vermuten, dass das IT-Sicherheitsgesetz trotzdem noch 2015 wirksam wird. Für viele Unternehmen, welche sich bisher eher stiefmütterlich um die Sicherheit im Bereich IT gekümmert haben, heißt das nun, dass sie ihre IT-Sicherheitsprozesse optimieren müssen. Spätestens zwei Jahre nach Inkrafttreten des Gesetzes müssen die verpflichteten Unternehmen nämlich erstmalig die Resultate ihres Sicherheitsaudits zur Überprüfung der organisatorischen und technischen Vorkehrungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vorlegen.
Vor- und Nachsorge müssen sich ergänzen
Mit dem IT-Sicherheitsgesetz kommt auf die Unternehmen zunächst ein erheblicher Mehraufwand zu. So müssen unter anderem IT-Produkte gefunden werden, die dafür geeignet sind, den Datenschutz zu verbessern. Das BSI wird künftig die Befugnis haben, auf dem Markt verfügbare IT-Produkte und IT-Systeme hinsichtlich ihrer Sicherheit zu prüfen und zu bewerten. Den Unternehmen können die veröffentlichten Ergebnisse zur Orientierung bei der Wahl ihrer Lösungen dienen. Die Herausforderung für Unternehmen besteht weiterhin darin, ein adäquates IT-Sicherheitsmanagement zu implementieren, das am besten im Compliance-Managementsystem aufgenommen wird.
Um Datenmissbrauch zu verhindern, reicht es für Unternehmen nicht mehr, lediglich auf Präventivmaßnahmen wie Firewalls, IPS oder Antivirenprogramme zu setzen, es ist vielmehr eine gute Angriffserkennung erforderlich. Ein wichtiger Grundsatz der IT-Sicherheit ist es, dass sich nur jene Angriffe bekämpfen lassen, die identifiziert werden können. Ein Security-Information-and-Event-Management (SIEM) trägt in diesem Zusammenhang dazu bei, eine bessere Intelligenz, Transparenz und Visibilität in der Angriffserkennung zu erreichen. Idealerweise nutzen Unternehmen hierfür eine Software mit Echtzeit-Korrelation. Zur Qualitätssicherung müssen solche SIEM-Programme ständig aktualisiert, optimiert und an aktuelle Bedrohungen angepasst werden. Viele Unternehmen werden neue Fachkräfte benötigen, die das übernehmen.
Typische Sicherheitsmängel vom BSI aufgedeckt
Eine zuverlässige Angriffserkennung ist nicht das einzige, auf das es ankommen wird. Wie ein repräsentativer BSI-Bericht zur Lage der IT-Sicherheit in Deutschland herausstellt, haben viele Unternehmen vor allem bei der Aktualisierung Ihrer Systeme erhöhten Nachholbedarf. Veraltete Patchstände von Betriebssystemen und Applikationen seien demnach eines der Hauptprobleme in vielen Unternehmen. Softwarebedingte Schwachstellen erweisen sich außerdem als Einfallstor für Cyber-Attacken, weil herausgegebene Sicherheitsupdates häufig gar nicht oder erst zu spät installiert werden. Mittlerweile ist das Sicherheitsbewusstsein bei vielen deutschen Firmen gestiegen. Beinahe die Hälfte von ihnen (45 Prozent) geht laut einer Studie der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) davon aus, dass die Investitionen in Datenschutz und IT-Sicherheit in diesem Jahr um 50 Prozent zunehmen werden.