ITSG

IT-Sicherheitsgesetz - eine Bestandsaufnahme

Stefan Sulistyo ist Mitgründer und Geschäftsführer der Alyne GmbH. Zuvor sammelte er über 10 Jahre Erfahrung im Management von IT-Sicherheit in verschiedenen großen Unternehmensberatungen bei Großkunden in diversen hochregulierten Branchen. Zudem war er in leitender Position verantwortlich für IT-Sicherheit bei einem führenden Medien- und Telekommunikationsunternehmen. Sulistyo ist Mitglied bei (ISC)² und ISACA und verfügt über Zertifizierungen als Certified Information Systems Security Professional (CISSP) und Certified Information Systems Auditor (CISA).
Das IT-Sicherheitsgesetz ist nun mittlerweile ein Dreivierteljahr alt. Zeit einmal den Wasserstand zu messen und zu sehen, in welcher Form es sich bereits ausgewirkt hat.

Das IT-Sicherheitsgesetz (kurz: ITSG) ist die Umsetzung der deutschen und der europäischen Cyber- Security-Strategie zum Schutz kritischer Infrastruktur. Hier geht es um Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Kritische Infrastrukturen, deren Ausfall das Gemeinwesen bedrohen würden, hängen am Tropf der IT und sind deshalb durch die Regelungen des IT-Sicherheitsgesetzes besonders geschützt.
Kritische Infrastrukturen, deren Ausfall das Gemeinwesen bedrohen würden, hängen am Tropf der IT und sind deshalb durch die Regelungen des IT-Sicherheitsgesetzes besonders geschützt.
Foto: sfam_photo - www.shutterstock.com

Wie alle anderen Bereiche unserer modernen Gesellschaft sind auch diese inzwischen stark umfasst von der Digitalisierung. Es bleibt nicht aus, dass das Thema IT-Sicherheit mit rasender Geschwindigkeit vom Rand der Aufmerksamkeit in die Mitte rückt.

Das IT-Sicherheitsgesetz will dieses Ziel durch zwei wesentliche Komponenten erreichen:

  • Verbindliche und nachzuweisende IT-Sicherheits-Mindeststandards;

  • Meldungspflichten und klare Kontaktwege für betroffene Organisationen.

Wie ist der aktuelle Stand?

Viel wurde nun im Vorfeld über die Kosten und Schwierigkeiten der Umsetzung derselben lamentiert, sowie wer überhaupt genau betroffen sei - wie sieht es aber nun im Frühjahr 2016 aus?

Ein konkreter Katalog der Mindeststandards wurde bisher nur im Energiesektor durch die Bundesnetzagentur veröffentlicht. Wie jedoch vorher zu sehen war, basiert dieser auf der Gruppe der ISO -27000-Standards für Informationssicherheits-Management. Man kann also weiterhin davon ausgehen, dass das auch in den anderen Branchen so sein wird.

Als weitere offizielle Veröffentlichung wurden 700 Anlagen aus den Sektoren Energie, Wasser, Ernährung, IT und Telekommunikation als betroffene Organisationen genannt. Herangezogen wurde dabei die so genannte 500.000er-Regel - bedeutet, wenn 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind, fällt der jeweilige Dienst bzw. dessen Einrichtung in das Raster des IT-Sicherheitsgesetzes.

Viele IT-Sicherheitsverantwortliche in diesen Bereichen dürften jedoch auch etwas aufgeatmet haben. Denn ab einer gewissen Größe haben viele bereits einen respektablen Reifegrad in ihrem IT-Sicherheitsmanagement erreicht (und es geht hier nicht um ein perfektes Sicherheitsniveau, sondern um Prozesse der kontinuierlichen Verbesserung). Auch der Kontakt zu Aufsichtsbehörden ist bereits Usus aus anderen Gründen und die Meldung von Sicherheitsvorfällen muss im Fall des Falles dort nur noch "angedockt" werden.

Hierzu passt auch der Trend zum Aufbau von Security Operations Centern innerhalb der eigenen Organisation oder über externe Dienstleister. Diese SOCs sind ein natürlicher Knotenpunkt für Kontaktwege von und zu den relevanten Behörden. Zu bedenken ist aber, dass diese Kontaktwege keine Einbahnstraße von den Firmen zu den Behörden sind. Insbesondere in Fällen von sehr fortgeschrittenen Angriffen (APT) erfolgen die ersten Warnungen nicht selten zuerst von staatlichen Stellen an die betroffenen Firmen. Kleineren Firmen sei hier übrigens eine Mitgliedschaft in der Allianz für Cyber-Sicherheit empfohlen.

Drei wesentliche Branchen fehlen

Es fällt jedoch auf, dass in der Anlagenauflistung drei Sektoren fehlen: Verkehr und Transport, Gesundheit, und die Finanz- und Versicherungswirtschaft. Die entsprechenden Rechtsverordnungen sollen zwar noch bis Ende 2016 folgen, bis hierhin bewegt sich aber noch vieles im Bereich der Spekulation.

Für die sehr großen Verkehrs- und Transportunternehmen (500.000er-Regel bedenken!) gelten ähnliche Beobachtungen wie für die bereits genannten. Das gleiche gilt auch für die großen etablierten Player in der Finanz- und Versicherungswirtschaft. Doch diese Branche befindet sich gerade mitten in einer riesigen Digitalisierungswelle. FinTech- und InsurTech-Startups sprießen derzeit überall aus dem Boden. IT-Sicherheit ist zwar auch dort ein Thema, aber viele konzentrieren sich aktuell fast ausschließlich auf die Erschließung ihres jeweiligen Marktes. Beachtenswert ist dabei, dass einige bereits in kürzester Zeit auf sechsstellige Nutzerzahlen gekommen sind (500.000er-Regel). Bisher sind nur vereinzelte Sicherheitsvorfälle in dieser Branche bekannt geworden, doch das kann sich schnell ändern.

Denken wir außerdem an den Gesundheitssektor: Hier hat sich in den letzten Jahrzehnten auch still und heimlich die Digitalisierung in großem Stil "eingeschlichen". Jeder Arzt kann bestätigen, dass er die "EDV" zwar nicht unbedingt immer versteht, ihm oder ihr aber erlaubt, die Quartalsabrechnung automatisch zu erledigen - anstatt wie früher die Praxis für drei Tage schließen zu müssen. Diese Art von Software-Unterstützung für wichtige Prozesse und Abläufe ist exponentiell intensiver bei größeren Kliniken. Das Spardiktat im Gesundheitsbereich zwang zu immer größerer Automatisierung in der Verwaltung.

Nirgendwo kann man gleichzeitig die Wichtigkeit der IT und die Anfälligkeit für Sicherheitsvorfälle bei Gesundheitseinrichtungen ablesen, wie bei den aktuellen Crypto-Trojaner-Vorfällen in deutschen (und internationalen) Kliniken. In einigen bekannten Vorfällen wurden für eine Weile nur noch Notfallpatienten aufgenommen und alle anderen abgewiesen. Und die Dunkelziffer ist hoch: Viele betroffene Häuser haben keine Wahl, als das Erpressungsgeld zu zahlen, insbesondere bei Intensivpatienten, bei denen die verlorenen Daten zum Teil nicht wieder neu beschafft werden können.

Empfehlungen für Unternehmen

Es ist also noch sehr viel zu tun und als erster Schritt ist es gut, dass das Thema IT-Sicherheit wieder höher auf der Prioritätenliste steht. Denn gestörte Verwaltungsprozesse sind das eine, richtig bange wird einem bei dem Gedanken an hochvernetzte medizinische Geräte, die beispielsweise den Körper implantiert werden.

Was können betroffene Organisation nun tun, wenn IT-Sicherheit bisher nur stiefmütterlich behandelt wurde? Hier bietet sich an, etablierte gute Praktiken des Informationssicherheitsmanagements (entsprechend ISO/IEC 27001:2013) anzuwenden:

  1. Klare Regelung von Verantwortlichkeiten und Erwartungen - vom einzelnen Mitarbeiter bis zur Geschäftsleitung. Das beginnt typischerweise mit der Priorisierung des Themas durch die Geschäftsleitung und die Benennung oder Einstellung von hauptberuflichen IT-Sicherheits-Managern. Als weiterer Schritt wird eine erste Sicherheitsrichtlinie für alle Mitarbeiter und Zulieferer veröffentlicht.

  2. Einbindung von relevanter Expertise - extern und intern. Das IT-Sicherheits-Team wird aufgebaut, um die verschiedenen Themenbereiche abzudecken. Dies erfolgt zunächst durch externe Kräfte und kann dann in Kernbereichen intern besetzt werden. Bitte bedenken Sie jedoch, dass die Besetzung von IT-Sicherheits-Stellen oft sechs Monate und länger dauern kann und hier mittlerweile die höchsten Gehälter im IT-Bereich verlangt werden.

  3. Standortbestimmung - Wie ist mein eigener Reifegrad und wo stecken die größten Risiken? Jeder IT-Sicherheitsberater oder Festangestellte, der sein Geld wert ist, wird zunächst mit einer umfassenden Risikoanalyse beginnen und diese mit Benchmarks zu vergleichbaren Organisationen versehen. Als Teil dieser Aktivität wird außerdem der tatsächliche Schutzbedarf verschiedener Organisationseinheiten und Geschäftsprozesse bestimmt, um Fehl- und Überinvestitionen zu vermeiden.

  4. Identifikation von Maßnahmen mit dem größten Return-on-Invest bezogen auf die Risikominimierung: Dies lässt sich vor allem durch eine Fokussierung auf die größten Risiken erreichen. Als weitere Strategie bietet sich an, einzelne Maßnahmen zu identifizieren, welche parallel verschiedene Risiken abdecken (häufig im Bereich der so genannten Klumpenrisiken).

  5. Auswahl einer Reihe von Maßnahmen, welche realistisch in einem bestimmten Zeitraum für die Organisation umsetzbar sind: In vielen Fällen ist die Einführung von Sicherheitsmaßnahmen zunächst sehr schmerzhaft für Organisationen, da es sich häufig um konkurrierende Interessen zu beispielsweise schneller Produktentwicklung, Vertrieb und Mitarbeiterflexibilität handelt. Es ist daher sehr wichtig, die allgemeinen Geschäftsziele im Hinterkopf zu behalten und die Organisation nicht durch zu viele Sicherheitsprojekte zu überfordern (dies sorgt nur dafür, dass diese Projekte durch aktiven Widerstand scheitern werden).

  6. Messung der Effektivität und Leistung von Maßnahmen: Wie jede Investitionsentscheidung müssen auch Sicherheitsmaßnahmen zeigen, dass sie die gesetzten Ziele erreichen. Hier kommt wieder die Risiko- und Schutzbedarfsanalyse ins Spiel.

  7. Zurück zum Anfang und Schritte wiederholen: IT-Sicherheit ist ein Management-Prozess und bleibt nicht an einem bestimmten Punkt stehen sondern erfordert eine kontinuierliche Betrachtung und Verbesserung (Plan-Do-Check-Act). (sh)