computerwoche.de

Compliance & Recht

Kurze Fristen drängen zum Handeln

IT-Sicherheitsgesetz - Die Uhr tickt

19.01.2016
Von   IDG ExpertenNetzwerk, und
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Alle Posts des Autors
Detlef Klett ist Partner in der Wirtschaftskanzlei Taylor Wessing in Düsseldorf. Er hat  sich auf die rechtliche Beratung in den Bereichen IT, Telekommunikation und Datenschutz spezialisiert. Klett berät das Bundesministerium des Innern und seine nachgelagerten Bereiche sowie namhafte Wirtschaftsunternehmen. 
Alle Posts des Autors Email:
Carsten Marmulla ist ein erfahrener Managementberater mit den Themenschwerpunkten Informationssicherheitsmanagement, IT-Compliance, IT-Sicherheit und IT-Governance. Er verfügt über eine langjährige Berufserfahrung in der IT- und Managementberatung und ist als interner Auditor für den internationalen ISO-Standard 27001 zertifiziert.
Alle Posts des Autors Email: Connect:

Was ist konkret erforderlich?

Doch während die Bundesregierung bereits seit vielen Monaten betont, dass IT-Sicherheit eine wesentliche Voraussetzung für die Wahrung der Freiheitsrechte ist, fällt vielfach auf, dass es bei Unternehmen große Unsicherheiten hinsichtlich der konkret notwendigen Handlungen gibt. Welche konkreten Maßnahmen müssen nun getroffen werden, um wirksam die neuen gesetzlichen Anforderungen des IT-Sicherheitsgesetzes zu erfüllen?

Konkrete Anforderungskataloge oder Vorgaben, welche technischen und organisatorischen Maßnahmen erforderlich sind, um die IT-Mindestsicherheitsstandards zu erreichen fehlen. Allerdings gibt es eine Reihe von Empfehlungen:

  • Unterstützung der branchenorientierten Selbstorganisation: Die Möglichkeit, branchenspezifische IT-Mindestsicherheitsstandards zu entwickeln, ist sinnvoll. Eine branchenorientierte Selbstorganisation von Mindeststandards ist zielführend und sollte ein ausreichendes Maß an Flexibilität gewährleisten.

  • Berücksichtigung der Internationalität der Unternehmen: Bei der Entwicklung und Anerkennung branchenspezifischer IT-Mindestsicherheitsstandards sollte die starke Ausrichtung der häufig europäisch und global operierenden deutschen Unternehmen an international geltenden Standards berücksichtigt und auf nationale Insellösungen verzichtet werden.

  • Beachtung der Rolle der Zulieferer und Ausrüster: Es sollte berücksichtigt werden, dass die gesetzlichen Vorgaben über den Kreis der eigentlich betroffenen Betreiber hinaus Folgewirkungen auch auf andere Unternehmen haben können. Während Zulieferer und Ausrüster, etwa aus der Elektro- und der Maschinenbauindustrie durch ein mögliches „Durchreichen von Mindeststandards“ belastet werden können, können sich für Hersteller und Dienstleister aus dem Bereich der IT-Sicherheit Potenziale ergeben.

Der Aufbau einer Informationssicherheitsstrategie innerhalb eines Unternehmens besteht aus der Kombination verschiedener Module und Maßnahmen und funktioniert ausschließlich als „Top-Down-Ansatz“, der aktiv die Unterstützung durch die Unternehmensleitung voraussetzt.
Der Aufbau einer Informationssicherheitsstrategie innerhalb eines Unternehmens besteht aus der Kombination verschiedener Module und Maßnahmen und funktioniert ausschließlich als „Top-Down-Ansatz“, der aktiv die Unterstützung durch die Unternehmensleitung voraussetzt.
Foto: telexiom AG, Carsten Marmulla

Bereits seit dem Jahr 2011 unterliegen Energieversorgungsunternehmen mit eigenem Netzbetrieb der Verpflichtung, für einen angemessenen Schutz gegen Bedrohungen für netzsteuerungsdienliche Telekommunikations- und elektronische Datenverarbeitungssysteme zu sorgen. Den in § 11 Abs. 1a Satz 2 Energiewirtschaftsgesetz (EnWG) enthaltenen Auftrag an die Bundesnetzagentur (BNetzA) zur Konkretisierung des „angemessenen Schutzes“ einen Katalog von Sicherheitsanforderungen zu erstellen, ist die BNetzA im August 2015 nun nachgekommen.

Deutlich formuliert der IT-Sicherheitskatalog, dass eine „bloße Umsetzung von Einzelmaßnahmen wie zum Beispiel Einsatz von Antivirensoftware und Firewalls nicht ausreichen“, sondern dass ein ganzheitlicher Ansatz notwendig ist, der auch der Unterstützung der Unternehmensführung bedarf. Der IT-Sicherheitskatalog orientiert sich hierbei an der internationalen Norm ISO 27001 zum Aufbau und Betrieb eines Informationssicherheits-Management-Systems (ISMS).

Zudem gibt es weiterreichende Beschreibungen zur Umsetzung in der ISO 27002 sowie zu branchenspezifischen Ausprägungen in der ISO/IEC TR 27019 respektive DIN SPEC 27019. Zentraler Bestandteil sämtlicher ISO-Normen ist der darin verankerte Deming-Zyklus (PDCA: Plan, Do, Check, Act), der eine zyklische Überprüfung hinsichtlich der Wirksamkeit, Leistungsfähigkeit und Angemessenheit der Maßnahmen und Kontrollen erfordert und somit auch eine kontinuierliche Verbesserung impliziert. Der Abschluss eines Zertifizierungsverfahrens auf der Grundlage des ISO/IEC-Standards 27001 ist der BNetzA durch Vorlage einer Kopie des Zertifikats bis zum 31. Januar 2018 mitzuteilen.

Fazit:

Die durch das IT-Sicherheitsgesetz neu geschaffenen, nicht-funktionalen Anforderungen an einen ordnungs- und zeitgemäßen sowie sicheren IT-Betrieb stellen viele Unternehmen vor neue Herausforderungen. Dennoch, „Security“ ist im Unternehmensalltag keineswegs Neuland, sondern stellt eine lösbare Aufgabe dar, die sich in vielen Fällen mit pragmatischen Ansätzen auch mit einem überschaubaren Zeit- und Finanzaufwand umsetzen lässt.

Wichtige Voraussetzung hierfür ist die professionelle Unterstützung durch Fachkundige, die mit den Methoden der Informations- und IT-Sicherheit vertraut sind und bereits Erfahrung im Aufbau und der Weiterentwicklung von unternehmensweiten IT-Sicherheitsstrategien vorweisen können. Vor allem ist den Unternehmen aber anzuraten, unverzüglich aktiv zu werden, um bereits an der Gestaltung der branchenspezifischen Mindeststandards mitzuwirken und zu prüfen, welche sie davon bereits erfüllen und bei Bedarf entsprechend nachzubessern. Denn Fakt ist: Wer abwartet, verliert.