Milliardenkosten durch Meldepflicht?
Dennoch, die Umsetzung der geplanten Maßnahmen wird zu erheblichen Kosten sowohl auf Seiten des Staats als auch auf Seiten der Wirtschaft führen. So schätzt der Gesetzgeber, dass allein bei den zuständigen Sicherheitsbehörden bis zu 425 neue Planstellen benötigt werden. Unklar ist derzeit, welche finanziellen Belastungen die Wirtschaft tragen wird. Allein die Erfüllung der Meldepflicht wird nach Schätzungen des Bundesministeriums des Innern jährlich 9,24 Millionen Euro kosten. Der Bitkom geht sogar von Kosten bis zu 1,1 Milliarden Euro pro Jahr aus, je nachdem wie viele Unternehmen als Betreiber Kritischer Infrastrukturen eingestuft werden.
- Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können. - Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen. - Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind. - Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen. - Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen. - Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>
Derselbe Aufwand soll auf Betreiber öffentlicher Telekommunikationsnetzen, Anbieter von Telekommunikationsleistungen oder Betreiber von Atomanlagen für die Aufrechterhaltung und Erweiterung der bereits bestehenden Meldeverfahren zukommen. Die Kosten für die Entwicklung, Umsetzung und Einhaltung der branchenspezifischen Mindeststandards sind hier noch nicht eingerechnet.
Doch nicht nur der deutsche Gesetzgeber nimmt sich der Bekämpfung der Cyberkriminalität an. Auch die Europäische Union arbeitet derzeit an einer Richtlinie. Die Richtlinie verfolgt hierbei dieselbe Strategie. Auch hier sollen die Mitgliedstaaten Netz- und Informationssicherheits-strategien entwickeln sowie eine Fachbehörde für Cybersicherheit einrichten, die - und hierin unterscheidet sich die Richtlinie im Wesentlichen vom Entwurf des IT-Sicherheitsgesetzes - zusätzlich die IT-Sicherheitsvorfälle untersuchen und den Betreibern kritischer Infrastrukturen Anweisungen erteilen kann. Die Zustimmung des EU-Rates zu dieser Richtlinie steht bislang noch aus.
- T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert. - T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom. - G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite. - G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen. - antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope. - antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt. - Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab. - Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten. - gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung. - gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen. - genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert. - genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen. - NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich. - NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways. - secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle. - secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt. - Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden. - Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät. - Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden. - Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen. - Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten. - Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.
Fazit
Erstmals erkennt der deutsche Gesetzgeber die Informationstechnologie als ein wesentliches Wirtschaftsgut unseres Staates an. Diese Erkenntnis kommt spät, aber immerhin sie kommt. Bereits jetzt sind mehr als die Hälfte der Unternehmen in Deutschland vom Internet abhängig. International tätige Wirtschaftsunternehmen sind bereits heute ohne eine funktionierende IT nicht mehr überlebensfähig. Demzufolge ist das IT-Sicherheitsgesetz zumindest ein Anfang.
Dennoch, die späte Erkenntnis wird sowohl Staat als auch Wirtschaft viel Geld kosten. Den Schaden, den Cyberangriffe bereits verursacht haben, nicht mitberücksichtigt. So birgt die Umsetzung des Gesetzentwurfs noch erhebliche Unsicherheiten und eine willkommene Spielwiese für Berater; sowohl auf staatlicher als auch auf privatwirtschaftlicher Seite. Weder die Anforderungen an die branchenspezifischen Mindeststandards sind hinreichend konkretisiert, noch ist vorhersehbar, wie effektiv die Meldepflicht zur Bekämpfung der Cyberkriminalität sein wird. Ein erheblicher Bürokratieaufwand insbesondere zur Erfüllung der Meldepflichten wird nicht nur die zuständigen Sicherheitsbehörden, sondern vor allem die Unternehmen überrollen. Um welchen Preis? Das ist ungewiss, mindestens wohl 9,24 Millionen jährlich. Auch ist unklar, wie viele Unternehmen als Betreiber Kritischer Infrastrukturen eingestuft werden. Von 2000 Betreibern geht die Bundesregierung derzeit aus.
Eine funktionierende Informationstechnologie als Wirtschaftsgut: Mit dieser Erkenntnis beginnt das 21. Jahrhundert nun auch in den Gesetzestexten. Wie effektiv die geplanten Maßnahmen jedoch sein werden, wird die Praxis zeigen. Nachträgliche Anpassungen sind bereits vorprogrammiert. Immerhin, der Grundstein ist gesetzt. (sh)