Drei Fragen zum IT-Sicherheitsgesetz
Noch immer ist es nicht vollständig ausdefiniert und Angaben zu konkreten Maßnahmen lässt es ganz vermissen: das IT-Sicherheitsgesetz. Trotzdem sollten sich Betreiber Kritischer Infrastrukturen intensiv mit dem Thema beschäftigen. Denn eine kleine Panne genügt, um eine Kettenreaktion mit einschneidenden Folgen für die auszulösen, die von eben jenen Kritischen Infrastrukturen abhängig sind. Doch nicht nur die Kritis-Betreiber sind gefragt. Wie eine gesetzliche Vorlage zum Wegweiser für systematische IT-Sicherheit werden kann, möchte ich anhand von drei Fragen beleuchten, die so oder so ähnlich in unseren Gesprächen mit den unseren Kunden immer wieder auftauchen.
Das IT-Sicherheitsgesetz bleibt einigermaßen vage: Nach und nach nur werden die einzelnen Verordnungen erlassen, konkrete Maßnahmen benennt es nicht und es spricht von der Gefahrenabwehr mit Mitteln entsprechend dem „Stand der Technik“. Wie nützlich ist das Gesetz in der täglichen Praxis?
Für die Einen — nämlich die Betreiber Kritischer Infrastrukturen — ist das IT-Sicherheitsgesetz ab Mai 2018 rechtlich bindend. Das bedeutet, wer es nicht einhält, kann strafrechtlich mit Bußgeldern belangt werden. Wer per Definition zu diesen Betreibern gehört, legt die sogenannte Kritis-Verordnung anhand von Schwellenwerten fest. Für die Anderen — Unternehmen, die diese nicht erfüllen und für die deshalb rein rechtlich gesehen das IT-Sicherheitsgesetz nicht gilt — können die Vorgaben eine gute Leitlinie sein, um ihre IT-Sicherheit neu zu bewerten. Niemand sollte das Gesetz nur als eine Auflage für wenige bestimmte Unternehmen sehen, die jetzt auch noch erfüllt werden muss. Es geht um viel mehr: Es geht um das Bewusstsein für eine umfassende IT-Sicherheit, die über die rein technische Absicherung der IT-Infrastruktur hinausgeht. Allein die Diskussion, die das IT-Sicherheitsgesetz ausgelöst hat und die dafür sorgt, dass sich Unternehmen nun ganzheitlich mit dem Thema IT-Sicherheit beschäftigen, ist sehr wertvoll.
Kaum ein Unternehmen muss heute noch davon überzeugt werden, sich um seine IT-Sicherheit zu kümmern. Warum ist das IT-Sicherheitsgesetz trotzdem sinnvoll?
Es stimmt, dass in nahezu allen Unternehmen, die sich mehr oder weniger auf ihre IT-Infrastruktur verlassen können müssen, IT-Sicherheit ein wichtiges Thema ist. Oft wird jedoch nur punktuell abgesichert: mit einer Firewall etwa. Das ist ein guter Anfang, aber viel zu wenig, um wirklich gewappnet zu sein. Nur in wenigen Unternehmen wird IT-Sicherheit ganzheitlich betrachtet: Das heißt, regelmäßige Sicherheitsaudits oder definierte Prozesse für den IT-Krisenfall sind eine Seltenheit. Weil IT-Pannen bei Betreibern Kritischer Infrastrukturen Folgen für die Grundversorgung der Bevölkerung haben können — vom Stromausfall bis zur fehlenden medizinischen Versorgung –, verpflichtet der Gesetzgeber diese nun, entsprechende Präventiv-Maßnahmen zu ergreifen. Mögen die Folgen solcher Vorfälle bei „normalen“ Unternehmen auch weniger weitreichend sein, ein IT-Sicherheitsproblem kann bedeutende finanzielle Verluste und hohen Imageschaden nach sich ziehen. Was ich damit sagen will: Das IT-Sicherheitsgesetz bildet mit all seinen Verweisen auf ISO-Normen oder das IT-Grundschutz-Regelwerk eine wertvolle Grundlage, an der man sich bei der Konzeption der eigenen IT-Sicherheitsstrategie entlanghangeln kann.
Wie sieht ein umfassendes IT-Sicherheitskonzept aus?
Die Basis bilden etablierte technische Maßnahmen, von der Firewall bis hin zum Patch- und Update-Management. Darüber hinaus braucht IT-Sicherheit ein umfassendes Schwachstellen-Management: eine Vorab-Analyse des Gefahren-Potenzials und möglicher Folgen, die Definition entsprechender Prozesse mit Zuständigkeiten und konkreten Maßnahmen, die Einbeziehung der Fachabteilungen und aller Management-Ebenen. Nicht zuletzt spielt auch die Sensibilisierung aller Mitarbeiter eine zentrale Rolle, denn nicht jede Lücke kann geschlossen werden, die richtige Reaktion kann aber die Folgen minimieren. Was zunächst nach Mehraufwand klingt, zahlt sich bald aus: Denn ein sinnvoll aufgesetztes Schwachstellen-Management erhöht die IT-Sicherheit nachhaltig — ganz egal, ob man Betreiber einer sogenannten Kritischen Infrastruktur ist oder nicht.
