CW: Was kann ein IT-Sicherheitsgesetz bewirken?
DROR-JOHN RÖCHER: Positiv zu bewerten ist, dass sich die Politik des Themas überhaupt annimmt. Es geht in die richtige Richtung. Die Mittelaufstockung für einige Stellen ist absolut nötig, auch die Meldepflicht kann einen positiven Beitrag leisten, wenn sie denn richtig gehandhabt wird. Es braucht natürlich einen positiven Rückfluss in Richtung der Unternehmen, die melden. Und eine gewisse Öffentlichkeitsarbeit.
Foto: Computacenter
CW: Inwiefern? Die Meldung selbst soll ja nun doch anonym erfolgen?
RÖCHER: Es geht ja nicht um die Unternehmen, die Sicherheitsvorfälle hatten, sondern um die Methoden der Angreifer. Für die Öffentlichkeit ist interessant, über welche Vektoren die Angreifer verfügen und welche Stellen im Unternehmen besonders gefährdet sind. Eine Art Lagebericht - Statusupdate sozusagen, für alle die, die eventuell selbst in der verteidigenden Rolle sind und künftig sein werden.
CW: Was ist mit den geplanten Erkennungs- und Abwehrsystemen von Betreibern kritischer Infrastrukturen? Gibt es die nicht schon längst?
RÖCHER: Für einen Teil der Unternehmen ist der Gesetzesentwurf sicherlich obsolet - ich denke da beispielsweise an die Telekommunikationsunternehmen, für die es analoge Regelungen bereits gibt. Das IT-Sicherheitsgesetz ist übrigens so formuliert, dass Branchenstandards auf Antrag vom BSI anerkannt werden können - also Regeln, die sich eine Branche bereits selbst gegeben hat. Gerade Großunternehmen arbeiten bereits nach solchen Standards.
"Folgen für Großunternehmen eher gering"
CW: Also sind die größten Auswirkungen eher im KMU-Sektor zu erwarten?
RÖCHER: Außer der Etablierung regelmäßiger Audits und Reportings alle zwei Jahre dürften die Auswirkungen für Großunternehmen durch die neuen gesetzlichen Regelungen eher gering ausfallen. Die Folgen würden in der Tat eher für die kleinen und mittelständischen Unternehmen spürbar, weil diese das geforderte Sicherheitsniveau bisher nicht flächendeckend hatten und auch keine Mittel dafür bereitgestellt hatten. Im Vergleich zur Gesamtsumme der allgemeinen Betriebskosten jedoch dürften die Ausgaben für IT-Sicherheit auch dann nur einen geringen Anteil ausmachen.
- Jeder weiß selbst am besten, welche Gefahren konkret drohen
Oft wird über Gefahren gesprochen, als wären sie universell. Das ist in Ordnung, wenn es um weltweite Trends geht, eignet sich aber nicht, um auf konkrete Unternehmen einzugehen. Unternehmensgröße, Branche und der Wert, den Informationen für das Unternehmen haben, sind nur einige der Faktoren, die etwas über etwaige Gefährdungen aussagen. Die internen Sicherheitsverantwortlichen wissen am besten, welche Angriffe am wahrscheinlichsten sind und sollten ihrer Expertise trauen, anstatt sich ausschließlich auf den Anti-Malware-Anbieter zu verlassen. - Sicherheit und Big Data sind direkt vernetzt
Lange haben Sicherheitsanbieter geflissentlich Daten über Angriffe gesammelt, analysiert und entsprechende Verteidigungsmechanismen entwickelt. Während sich die Vorgehensweise als solche nicht sehr geändert hat, ist die Datenmenge exorbitant angestiegen – jedes Jahr werden Millionen neue Gefahren entdeckt, gegen die sich Unternehmen tagtäglich schützen müssen. Gleichzeitig sind die meisten davon sehr kurzlebig, so dass die erste Entdeckung oftmals auch gleich das letzte Mal ist, dass sie gesehen werden. Ein Ende dieses Datenwachstums ist nicht in Sicht. - Das Zusammenspiel von Systemen ist Pflicht
Neue Gefahren werden mit neuen Technologien bekämpft – die sehr oft nur unabhängig von anderen funktionieren und nicht kompatibel sind. Erkennt also eine Technologie eine Gefahr, dann wird sie blockiert – allerdings nur auf Systemen, die diese Technologie nutzen. So gehen sehr viele Kontextinformationen verloren, die gerade in Zeiten komplexer Sicherheitsbedrohungen wichtig für einen möglichst umfassenden Schutz sind. Collaboration ist demnach Pflicht, integrierte Systeme sind erfolgreicher als unabhängige. - Aus dem einen Endpunkt sind viele Endpunkte geworden
Traditionelle Anbieter von Anti-Malware-Lösungen haben sich oft auf „den einen Endpunkt“ konzentriert. Im Kampf gegen Advanced Malware werden allerdings ganzheitlichere Konzepte gebraucht. Angriffsziele sind über das gesamte Unternehmen verstreut – denn was hilft es, wenn klar ist, welcher Endpunkt angegriffen wird, aber nicht, welche Auswirkungen das auf andere Komponenten hat? Sicherheitsverantwortliche brauchen eine umfassendere Perspektive, um effektiv gegen Advanced Malware vorzugehen. - Es reicht nicht mehr, Angriffe nur zu entdecken
Häufig haben die Sicherheitsverantwortlichen keinen ausreichenden Überblick über aktuelle Angriffe. Zudem fällt es ihnen oft schwer, die Kontrolle über die Systeme nach einer Attacke zurückzugewinnen. Obwohl es wohl nie eine 100-prozentige Absicherung geben wird, sollten Unternehmen und Anbieter dennoch kontinuierlich in die Entwicklung neuer Technologien investieren – und zwar nicht nur, um Gefahren schnell zu entdecken, sondern auch, um sie zu bekämpfen, zu analysieren und zu kontrollieren. <br /><br /><em>(Tipps zusammengestellt von Volker Marschner, Security Consultant bei Sourcefire/Cisco)</em>
CW: Die Kosten sind ein großer Kritikpunkt der Wirtschaft. Wer bezahlt das Ganze?
RÖCHER: Der Steuerzahler wird sicherlich nicht für die Auswirkungen der Privatwirtschaft aufkommen, aber vermutlich teilweise für die Auswirkungen der öffentlichen Hand, die ja auch wesentliche Teile der kritischen Infrastrukturen betreibt. Auch Kleinstunternehmen sollen laut Entwurf von den finanziellen Belastungen ausgenommen werden. Der Mittelstand wird die Last tragen müssen, diese aber natürlich über den Preis an den Endverbraucher weitergeben. Trotzdem haben auch die Unternehmen selbst ein gewisses Eigeninteresse, Security-Mindeststandards einzuführen.
CW: Wann ist mit der Umsetzung des IT-Sicherheitsgesetzes zu rechnen?
RÖCHER: Ohne konkrete Prognosen abgeben zu können, gehe ich davon aus, dass das Gesetz in seiner jetzigen Entwurfsform ohne große Änderungen umgesetzt werden wird. Sobald es verabschiedet ist, haben alle Unternehmen dann noch einmal zwei Jahre Zeit, eigene Branchenstandards zu definieren und ihre eigene Infrastruktur auf die neuen Gegebenheiten abzustimmen.