IT-Sicherheitsgesetz: Es besteht Handlungsbedarf!

Schwachstellen-Management wird geschäftskritisch — für fast jedes Unternehmen

Nun zog Europa also endlich nach. Bereits im vergangenen Dezember hatten lange Verhandlungen über die Richtlinie zur erhöhten Cybersicherheit stattgefunden. In diesen Tagen stimmten die Abgeordneten des EU-Parlaments nun zu. Die Sicherheit von Netzwerk- und Informationssystemen soll damit erhöht werden. In Deutschland gilt das in etwa entsprechende IT-Sicherheitsgesetz ja bereits seit gut einem Jahr. Vielen IT-Verantwortlichen ist die Dringlichkeit des Themas trotzdem nicht bewusst.

Zielgruppe beider Verordnungen sind die Betreiber sogenannter kritischer Infrastrukturen. Damit sind — im klassischen Sinne — etwa Energieversorger, Wasserbetriebe und große Telekommunikations-Dienstleister gemeint. Aber auch Unternehmen, die die medizinische Versorgung sicherstellen, Nahrungsmittel produzieren oder im Finanz- und Versicherungswesen agieren, können zu den Betreibern kritischer Infrastrukturen gehören. Die betroffenen Unternehmen müssen nun erweiterte IT-Sicherheitsauflagen erfüllen.

Wann ist eine Infrastruktur eigentlich kritisch?

Nun, ich versuche es vorsichtig zu formulieren: Wenn sogar die Bundesregierung und das EU-Parlament in der IT-Sicherheit ein Problem erkannt haben, wie ernst ist die Situation dann wirklich? Will sagen: Normalerweise ist doch schon eine Menge passiert und viel Zeit vergangen, bevor die Gesetzgeber auf den Plan treten. Dennoch, besser spät als nie. Denn die Diskussion um das deutsche IT-Sicherheits- und das europäische Cybergesetz entfacht das Bewusstsein für dieses Thema neu.

Man könnte als Unternehmer nun abwinken und konstatieren, dass ja nur eben jene großen Betreiber kritischer Infrastrukturen betroffen wären. Das mag stimmen — aus Sicht des Gesetzes. Noch. Gut möglich, dass der Begriff der „Kritischen Infrastruktur“ erweitert werden muss. Denn es mag zwar halb so wild sein, wenn die LKW-Flotte eines Logistik-Unternehmens aufgrund einer IT-Sicherheitspanne lahmliegt. Wenn die LKWs jedoch dringend benötigte Lebensmittel in ein Krankenhaus liefern, werden sie schnell zum kritischen Bestandteil unseres fragilen Systems. Was lebenswichtig oder existenzgefährdend ist, bestimmt die Sichtweise der jeweils Betroffenen.

Die Frage, ob Sie nun konkret betroffen sind oder nicht, lässt sich demnach gar nicht so einfach beantworten. Im Zweifelsfall: eher ja. Könnten Sie, wenn es ernst wird, die Sicherheit Ihrer IT-Systeme und damit Ihres gesamten Ökosystems umfänglich garantieren?

Schwachstellen-Management als vorbeugende Maßnahme

Die beiden genannten IT-Sicherheits-Richtlinien sehen unter anderem vor, dass die Unternehmen IT-Angriffe und Datenschutzpannen den Behörden melden müssen. Ein wichtiger Schritt, um die Firmen in die Pflicht zu nehmen. Denn eine solche veröffentlichte Panne hat großen Imageverlust und wahrscheinlich auch wirtschaftlichen Schaden zur Folge. Das Kalkül: Die Unternehmen wollen es gar nicht erst soweit kommen lassen. Sie werden deshalb angehalten, die eingesetzte Hard- und Software auf mögliche Lücken hin zu überprüfen und diese zu schließen oder wenigstens im Blick zu behalten.

Denn dass es Schwachstellen in der IT-Infrastruktur jedes Unternehmens gibt, ist eine Binsenweisheit. Doch es ist ein Unterschied, ob man planlos möglichen Angriffen ausgesetzt ist oder ob man um die Unzulänglichkeiten eines zunehmend komplexen Systems weiß und entsprechende Maßnahmen einleitet. Schwachstellen-Management sollte in jedem Unternehmen ganz selbstverständlich auf der Tagesordnung stehen, genauso wie es die Abwehr anderer Gefahren auch tut. Dahinter steckt allerdings mehr als ab und zu ein Update. So liefert beispielsweise ein Schwachstellenscan, der das gesamte Netzwerk auf Schlupflöcher hin prüft, zahlreiche Detailinformationen zu weniger optimalen Konfigurationen, fehlenden Updates oder veralteten Webservern.

Werkzeuge wie Schwachstellenscans helfen Ihnen, Ihre IT-Lücken zu kennen, um dann entsprechende Gegenmaßnahmen ergreifen zu können. Regelmäßig durchgeführt, wird dies schnell zur Routine, der Aufwand sinkt, während die IT-Sicherheit deutlich wächst.