Im Juli 2015 ist das deutsche IT-Sicherheitsgesetz in Kraft getreten. Im Februar dieses Jahres wurde nun ein Rechtsverordnungsentwurf veröffentlicht, der erstmals definiert, wer von dem neuen Gesetz betroffen ist und somit künftig IT-Sicherheitsvorfälle melden muss.
„Viele IT-Angriffe könnten bereits durch Standardsicherheitsmaßnahmen abgewehrt werden“, erklärt Mark Rüdiger, Business Development Manager der OpenLimit SignCubes AG. Unter Einhaltung des Standes der Technik müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse getroffen werden, die maßgeblich zur Funktionsfähigkeit der betriebenen Infrastrukturen beitragen. „Laut BSI lässt sich über nationale oder internationale Standards wie DIN oder ISO ermitteln, was zu einem bestimmten Zeitpunkt als Stand der Technik definiert ist. In Deutschland sind hier vor allem die IT-Grundschutzkataloge des BSI zu beachten. Eine dieser State-of-the-Art-Lösungen ist beispielsweise die Authentifizierungstechnologie truedentity, die auf der zertifizierten Technologie und Infrastruktur des deutschen Personalausweises basiert und so auf ein bewährtes Datenschutz- und Datensicherheitskonzept für digitale Identitäten setzt“, konkretisiert Rüdiger.
Die IT-Grundschutzkataloge empfehlen für sicherheitskritische Anwendungsbereiche eine starke Authentisierung, die mindestens zwei Authentifizierungsfaktoren kombiniert, wie Passwort plus Chipkarte oder den Einsatz biometrischer Identifikationsmerkmale. „Eine Ein-Faktor-Authentifizierung aus Benutzername und Passwort bietet eine attraktive Angriffsfläche für Identitätsdiebstahl. Auch komplizierte Passwörter können mit speziellen Programmen geknackt werden und sind daher als sehr unsicher einzuschätzen“, sagt der IT-Sicherheitsexperte. Regelmäßige Medienberichte über große Datenklau-Skandale und Netzwerkübergriffe unterstreichen diese Aussage.
Wer ist von der neuen Meldepflicht betroffen?
„Insgesamt sind sieben Branchen und etwa 700 Anlagen in Deutschland vom IT-Sicherheitsgesetz und somit von der neuen Meldepflicht betroffen“, weiß der Spezialist aus dem Hause OpenLimit. „Als Faustregel gilt die 500.000-er-Grenze: Sind mehr als 500.000 Bürger von der Versorgungsleistung eines Unternehmens aus den Bereichen Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz- und Versicherungswesen abhängig, ist die Anlage meldepflichtig und muss die geforderten Mindeststandards an IT-Sicherheit einhalten.“ Zur genaueren Definition wurden für die jeweiligen Sektoren Schwellenwerte festgelegt, die sich aus dem Verbrauch von 500.000 Bürgern berechnen. Diese liegen beispielsweise für Energieversorger bei einer jährlichen Stromerzeugung von mehr als 450 MW und bei Wasserwerken bei einer Bereitstellung von mindestens 21,9 Millionen m³ im Jahr. Noch bleiben den Betreibern sicherheitskritischer Anlagen knapp zwei Jahre, um die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. „Wir empfehlen jedoch jedem Unternehmen, ob von der Meldepflicht betroffen oder nicht, beim Thema IT-Sicherheit keine Zeit zu verlieren. Die Meldungen in den Medien sind lediglich die Spitze des Eisberges und Cyberangriffe sind eine reale, ernst zu nehmende Gefahr.“
Messe
Seminare
Termine
Weiterbildung
sonstige Veranstaltung