IT-Sicherheitsgesetz und KRITIS

Herausforderung Ausfallsicherheit meistern

Lars Göbel befasst sich seit mehr als einem Jahrzehnt mit IT-Services und der Cloud. Der Wirtschaftsinformatiker baute die erste VMware basierte Public-Cloud-Infrastruktur Deutschlands auf und vermarktete diese. Anschließend wechselte er zu VMware, und übernahm schließlich 2014 seine heutige Position bei DARZ. Seine gesammelten Erfahrungen bringt Göbel insbesondere bei der Gestaltung einer wirklichen hybriden Cloud-Lösung durch die Verschmelzung von Colocation, Private Cloud und Public Cloud ein.
Das IT-Sicherheitsgesetz soll Unternehmen gegen Schäden, Ausfälle und Angriffe aus dem Internet absichern. Ziel des Gesetzes ist es, die deutschen IT-Infrastrukturen Stück für Stück zu den sichersten weltweit zu machen. Viele Fragen sind jedoch bis heute ungeklärt.

Aufgrund der kontinuierlich wachsenden Vernetzung von elektronischen Geräten wie PCs, Servern, Smartphones und Tablets über die klassischen Infrastrukturen hinaus erließ die Bundesregierung 2015 das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" - kurz "IT-Sicherheitsgesetz" genannt. Es soll die negativen Folgen der Vernetzung, etwa eine erhöhte Anfälligkeit für Cyberattacken, Störungen oder Ausfälle auf ein Minimalmaß reduzieren.

Der Ausfall eines Unternehmens kann wegen des hohen Vernetzungsgrades eine Art Dominoeffekt auslösen, durch den viele verbundene Organisationen ebenfalls "angesteckt" werden. Diese Risiko ist vor allem bei Unternehmen und Institutionen groß, die im Bereich der kritischen Infrastrukturen (KRITIS) tätig sind, und denen daher eine zentrale gesellschaftlicher Bedeutung zukommt. Konkret werden die folgenden Branchen KRITIS zugeordnet: Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung sowie Finanz- und Versicherungswesen.

KRITIS-Zugehörigkeit wird gerne verdrängt

Da die KRITIS-Definition bestimmte Branchen umfasst, ist es für viele Unternehmen eigentlich nicht schwierig zu erkennen, ob sie den kritischen Infrastrukturen zuzuordnen sind. Wenn ein Unternehmen diese Frage mit "Ja" beantworten muss, sieht es sich zumeist einer großen Heraus­forderung gegenüber. Denn viele Unternehmen wissen nicht, wie sie IT-Sicherheit und Ausfallsicherung so umsetzen sollen, dass der geforderte Standard nach dem "aktuellen Stand der Technik" erreicht wird und welcher Weg dorthin der beste ist.

Auf den ersten Blick erscheinen die Investitionen erzwungen. Sie sind mit viel bürokratischem Aufwand verbunden und bringen keinen erkennbaren Gewinn - weder für das Wachstum noch für die Innovationskraft des Unternehmens. Betrachtet man die staatlichen Anforderungen jedoch im Kontext der Digitalisierungsstrategie sieht die Sache anders aus. Unternehmen können das Notwendige mit dem Nützlichen zu verbinden und sich echte Wettbewerbsvorteile erarbeiten.

Unter die KRITIS-Regelung fallen auch Untenehmen, die sich dessen gar nicht bewusst sind.
Unter die KRITIS-Regelung fallen auch Untenehmen, die sich dessen gar nicht bewusst sind.
Foto: hywards - www.shutterstock.com

KRITIS ist mehr als zusätzliche IT-Sicherheit

Derzeit ist die KRITIS-Diskussionen stark vom Thema Cybersicherheit geprägt. Hacker provozieren immer wieder Stromausfälle, sei es in Haushalten oder in Krankenhäusern, um der Bevölkerung und Unternehmen einen Schrecken einzujagen und sie zu verunsichern. Beim zweiten großen Thema, der Ausfallsicherung, sollte bedacht werden, dass für mindestens 80 Prozent der zu KRITIS gehörenden Organisationen und Unternehmen die IT kein Kerngeschäft ist.

Schon aus Kostensicht lohnt sich eine Auslagerung der unternehmerischen IT-Ressourcen in externe, professionell betriebene Rechenzentren. Diese werden von spezialisierten IT-Unternehmen betrieben und sind mit hochwertiger Infrastruktur ausgestattet, die sich immer auf dem aktuellen technischen Stand befindet und gegen Gefahren wie Brände oder Naturkatastrophen abgesichert ist. Auch wenn eine derartige Auslagerung sicherlich nicht neu ist, erhält sie durch das IT-Sicherheitsgesetz eine ganz andere Tragweite.