GDPR & IT-Sicherheitsgesetz

Was steht an im Gesetzes-Dschungel?

Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und seit 2011 CEO. Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Die tickende Uhr in Sachen GDPR und der Kritis-Verordnung im Rahmen des IT-Sicherheitsgesetzes dürfte so manchen IT-Sicherheitsverantwortlichen ins Schwitzen bringen.

Zahlreiche Unternehmen, Organisationen und Kliniken sehen sich derzeit mit dem Inkrafttreten von zwei wichtigen Rechtsvorschriften konfrontiert: zum einen mit der Europäischen Datenschutzgrundverordnung (General Data Protection Regulation, GDPR), die im Mai nächsten Jahres verbindlich wird. Zum anderen folgt der zweite Teil der KRITIS-Verordnung für die Sektoren Finanz-und Versicherungswesen, Gesundheit sowie Transport und Verkehr, der auf dem IT-Sicherheitsgesetz basiert.

Auch wenn GDPR und KRITIS zunächst mal Kosten verursachen: Die Unternehmen profitieren letztendlich von einem Gewinn an Sicherheit.
Auch wenn GDPR und KRITIS zunächst mal Kosten verursachen: Die Unternehmen profitieren letztendlich von einem Gewinn an Sicherheit.
Foto: Wolfilser - shutterstock.com

GDPR - ein Verstoß kann richtig teuer werden

Mal ehrlich: Investitionen in IT-Sicherheit lohnen sich schon alleine deshalb, weil der Schaden bei einem erfolgreichen Angriff auf Netzwerk und Daten diese um ein Vielfaches übersteigen könnte. Doch abgesehen davon gibt es einen weiteren rechnerischen Grund, die IT-Sicherheitsvorgaben der GDPR fristgerecht umzusetzen: Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes (der höhere Wert greift) Strafe drohen Unternehmen und Organisationen bei einem Verstoß. Allerdings reduziert sich die Strafe deutlich oder wird sogar ganz hinfällig, wenn die Daten nachweislich durch Verschlüsselung geschützt sind.

Es empfiehlt sich daher, folgende Maßnahmen rechtzeitig in die IT-Sicherheitsstrategie zu integrieren:

  • Zwei-Faktor-Authentifizierung und Passwort-Regeln für eine sichere Identifikation der Anwender,

  • Autorisierung von Anwendern und Maschinen beim Datenaustausch,

  • Sichere Schlüsselverwaltung und -verteilung,

  • Audit-Logs, die Auskunft darüber geben, wer zu welchem Zeitpunkt und von welchem Gerät Zugriff und/oder Veränderungen vorgenommen hat.

Bei allen Maßnahmen schützen, verwalten und speichern Smartcards oder andere sichere Token in Verbindung mit Hardware-Sicherheitsmodulen (HSM) die Schlüssel auf dem geforderten Sicherheitsniveau. Somit können die Verantwortlichen den angemessenen Schutz der Daten nachweisen.

Zweite Welle beim IT-Sicherheitsgesetz

Ende Mai hat die Bundesregierung die Änderungsverordnung zur KRITIS-Verordnung beschlossen. Unternehmen der Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen können nun prüfen, ob sie als Betreiber kritischer Infrastrukturen unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Ist dies der Fall, müssen sie innerhalb von zwei Jahren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Einhaltung eines Mindeststandards an IT-Sicherheit nachweisen.

Die Priorisierung nach Branchen ist notwendig und sinnvoll. Das zeigt auch das Beispiel USA. Dort gibt es ähnliche Gesetze schon lange, ebenfalls mit dem Fokus auf besonders sensitive und zentrale Branchen. Sie sind gut umgesetzt und in der Praxis erprobt.

Nicht alle sind vorbereitet

Es ist wie an Weihnachten: Obwohl das Inkrafttreten der KRITIS-Verordnung nicht überraschend kommt, beweist die Gesundheitsbranche nach wie vor großen Mut zur Lücke. Die Digitalisierung erfolgt größtenteils unstrukturiert, die unzureichende Identifikation und Autorisierung von zugriffsberechtigten Anwendern bietet Angreifern gefährliche Einfallstore.

So ist es beispielsweise in vielen Krankenhäusern weiterhin zu leicht, hineinzuspazieren und sich an Computern zu schaffen zu machen. Diese sind oft nicht gesperrt, um einen schnellen Zugriff des berechtigen Personals zu ermöglichen. Mit Smartcards und Smartcard Readern, mit denen etwa autorisierte Servicekräfte in Restaurants die Kasse öffnen, lässt sich der Zugriff einfach auf befugtes Personal beschränken.

Eine weitere ebenso gängige wie gefährliche Sicherheitslücke entsteht durch den Austausch von sensiblen Patientendaten wie Röntgenbilder oder OP-Berichten über WhatsApp oder Gmail-Konten. Und schließlich gibt es auch in Sachen Netzwerk-Sicherheit großen Nachholbedarf. So mussten etwa die Krankenhäuser in Neuss und Aachen aufgrund eines erfolgreichen Ransomware-Angriffs den Betrieb teilweise einstellen.

Mit gutem Beispiel voran geht die Toll-Collection-Riege aus dem Sektor Transport und Verkehr. Sie hat es geschafft, IT-Sicherheit seit vielen Jahren vorbildlich zu etablieren. Für Logistikunternehmen sowie die Deutsche Bahn heißt es jetzt, nachzuziehen und von den Vorreitern zu lernen. Auch die Finanzbranche ist gut vorbereitet. Dennoch: Aufgrund des starken Wandels der Branche weg von der traditionellen Kunde-Bank-Beziehung steht auch hier das Thema IT-Sicherheit ganz oben auf der Agenda. Anwendungen wie Blockchain mit sicherer Schlüsselverwaltung via HSM halten verstärkt Einzug.

Fazit: Der Aufwand lohnt sich

Um das geforderte Sicherheitsniveau zu etablieren, sollten Regulierer und Sicherheitsunternehmen Hand in Hand arbeiten. Die häufig gepflegte grundsätzliche Ablehnung neuer Regulierungen ist hier fehl am Platz. Es geht nicht darum, dass meldepflichtige Ereignisse nicht eintreten oder gar Schande über die Betroffenen bringen - es kann wirklich jedes Unternehmen treffen.

Wichtig ist, Daten durch konsequente Verschlüsselung zu schützen und im Ernstfall richtig zu reagieren. Dafür braucht es dokumentierte und eingeübte Mechanismen für meldepflichtige Ereignisse. Auch wenn die Umsetzung zunächst einen zusätzlichen Aufwand mit sich bringt, wird unterm Strich der Gewinn an Sicherheit zu einer positiven Bilanz führen.

 

David Gabel

Oh Mann, wer schreibt denn so was:
"Allerdings reduziert sich die Strafe deutlich oder wird sogar ganz
hinfällig, wenn die Daten nachweislich durch Verschlüsselung geschützt sind."
Haben Sie das Gesetz schon mal gelesen? Ich vermute hier wird nur Werbung für Verschlüsselung gemacht. Mit Compliance hat das wenig zu tun. Schade, dass solche Artikel hier veröffentlich werden. Wenigstens hätte man den Leser darauf hinweisen können, dass Verschlüsselung nur eine Maßnahme ist, die im Artikel 32 als Möglichkeit genannt ist.

comments powered by Disqus