Das IT-Sicherheitsgesetz kommt

Viele Branchen sind unvorbereitet

Eric Schreiber schreibt als Experte zu den Themen Informationssicherheit, sowie Prozess und IT-Service Management. Als Consultant mit mehrjähriger Branchenerfahrungen in IT-Dienstleistung, Sozialwirtschaft, Öffentliche Träger, Fertigungsindustrie und Maritimer Wirtschaft stellt er sich den Herausforderungen unterschiedlichster IT-Organisationen.
Für das kommende IT-Sicherheitsgesetz sollten Unternehmen jetzt IT-Sicherheitsprozesse optimieren, bevor sie später überstürzt handeln müssen.
Für viele Unternehmen heißt es nun, mögliche Löcher in der eigenen IT-Security möglichst zügig zu stopfen.
Für viele Unternehmen heißt es nun, mögliche Löcher in der eigenen IT-Security möglichst zügig zu stopfen.
Foto: Willi Kreh

Europa liegt im Dunkeln, Hacker haben das gesamte Stromnetz lahmgelegt - so beginnt der Roman "Blackout" von Marc Elsberg. Um solche Szenarien nicht Realität werden zu lassen, hat die Bundesregierung am 17. Dezember 2014 die Einführung des IT-Sicherheitsgesetzes beschlossen. Es sieht vor, dass Betreiber "kritischer Infrastrukturen" diese entsprechend vor Hackerangriffen schützen und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen.

Von dem neuen Gesetz werden alle Unternehmen, deren IT-Verfügbarkeit sich auf das Gemeinwohl auswirkt, betroffen sein. Bereits im Gesetzesentwurf wurden relevante Branchen aufgelistet: Energieversorger, Informationstechnik, Transport und Verkehr, die medizinische Versorgung, die öffentliche Wasserversorgung, die Landwirtschaft sowie der Finanzsektor. Viele der Unternehmen haben ein völlig anderes Geschäftsfeld als den sicheren Betrieb von IT, und werden sich daher auf die neuen Anforderungen hinsichtlich der Erstellung von IT-Sicherheitskonzepten einstellen müssen. Darüber hinaus verweist das Gesetz darauf, dass Sicherheitsvorfälle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Welche Vorfälle gemeint sind, ist dabei noch nicht genau spezifiziert.

Security-Prozesse werden stichprobenartig geprüft

Der Verlauf der Diskussionen lässt vermuten, dass das IT-Sicherheitsgesetz noch 2015 verbindlich in Kraft treten soll. Alle diejenigen Unternehmen, die beispielsweise Sicherheitsstandards wie ISO 27001 umgesetzt und zertifiziert haben, erbringen demnach den Nachweis nach anerkannten Informationssicherheitsprozessen zu arbeiten. Bei den übrigen soll das BSI die Einhaltung von Security-Prozesse prüfen: Was passiert, wenn Anomalien in der Datenverarbeitung auftreten? Wie qualifiziert und bewertet die Security-Abteilung solche Vorgänge und wie leitet sie diese fristgerecht an das BSI weiter? Wer ist verantwortlich für die Einhaltung dieser Prozesse? Mit diesen Themen sollte sich jedes Unternehmen vorab auseinandersetzen und Antworten finden.

Rechtzeitige Planung sorgt für Gestaltungsfreiheiten

Wenn ein Unternehmen diese Fragen rund um die eigene IT-Sicherheit nicht eigenständig angehen kann, zum Beispiel weil das interne Know-how nicht vorhanden ist oder hierzu erforderliche Mittel fehlen, empfiehlt es sich, eine externe Beratung aufzusuchen. So können Unternehmen erfahren, ob sie unter das IT-Sicherheitsgesetz fallen werden und wie sich ein Informationssicherheits-Managementsystem aufbauen und implementieren lässt. Da die Planungsphase für ein solches Konzept erfahrungsgemäß mindestens ein Quartal und die Implementierung ein weiteres beanspruchen kann, sollten Unternehmen jetzt handeln. Für alle am Rande betroffenen Unternehmen, beispielsweise Dienstleister meldepflichtiger Unternehmen, empfiehlt es sich, zumindest den aktuellen Diskussionen in den Medien zu folgen und die Anforderungen der Kunden zu erfragen. (bw)