IT-Sicherheitsgesetz: Haben Sie was zu melden?

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Die Welt wird digitaler, im Zuge dessen steigt die Zahl der Hacker, die diese Systeme attackieren. Jetzt hat der Gesetzgeber mit der Verabschiedung des IT-Sicherheitsgesetzes eine wichtige Weiche gestellt. Die Experten Wilhelm Dolle und Alexander Geschonneck schätzen ein, was wir von der neuen Regelung erwarten können.

Ansprechpartner

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

IT-Sicherheit

Herr Dolle, brauchen wir ein IT-Sicherheitsgesetz?

Wilhelm Dolle: Meiner Meinung nach ja. Innenminister Thomas de Maizière hat ein ehrgeiziges Ziel: Er will Deutschlands IT-Systeme zu den sichersten der Welt machen. Eine verpflichtende Grundlage schafft in vielen Branchen die Notwendigkeit für die vielleicht längst überfälligen Detaildiskussionen zu mehr IT-Sicherheit. Das heißt: Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der datenverarbeitenden Systeme. Dass der IT-Sicherheit und deren Gefährdungen in Form von Cyberangriffen und ähnlichem mehr Aufmerksamkeit geschenkt werden muss, ist unbestritten. Der aktuelle Vorfall im deutschen Bundestag ist hier nur ein Beispiel. Kritiker befürchten dennoch, dass mit dem Gesetz ein für die Unternehmen teures Bürokratiemonster entstünde. Zum jetzigen Zeitpunkt und vor Vorlage der entsprechenden Verordnungen kann der Aufwand für die Umsetzung mit Blick auf die drei Hauptforderungen des Gesetzes, Meldepflicht, allgemeine und branchenspezifische Mindestsicherheitsstandards und ein regelmäßiger Nachweis noch nicht genau beziffert werden.

Herr Geschonneck, das IT-Sicherheitsgesetz ist verabschiedet, Betreiber Kritischer Infrastrukturen müssen Angriffe auf ihr Sicherheitssystem künftig melden? Was soll das bringen?

Alexander Geschonneck: Zuallererst müssen sich die betroffenen Unternehmen strukturiert mit den Sicherheitsvorfällen beschäftigen. Dazu gehört u.a. zu erkennen, ob die Störung in einem KRITIS [Kritische Infrastrukturen, Anm. d. Red.]-relevanten Kontext erfolgt, welches die Ursache war und auch welche Auswirkungen zu erwarten sein werden. Dazu bedarf es auch zuverlässige Detektionsmöglichkeiten, die in einen angemessenen Reaktions- und Meldeprozess münden. Eine forensische Ermittlung des Vorfalls ist hier dann wohl unumgänglich, um den Anforderungen des Gesetzgebers hier gerecht zu werden. Allerdings ist dabei zu überlegen, welche Informationen hier herausgeben werden und wie die Vertraulichkeit gewahrt werden kann.

Meldungen über Sicherheitsvorfälle dienen dazu, ein Lagebild über Angriffe zu erhalten und auch, um Informationen über besonders betroffene Technologien oder Branchen zu erhalten. Wissen unabhänig voneinander angegriffene Unternehmen nichts vom jeweils anderen, kann hier eine zentrale Koordination möglicherweise helfen, die Ursache schneller zu finden. Hierzu muss aber bei einer Behörde ein riesiger Datenschatz aufgebaut werden, der seinerseits Begehrlichkeiten wecken dürfte.

Das BSI soll andere Unternehmen durch die gewonnenen Informationen warnen, ist jedoch nicht jedes Unternehmen selbst für seine Sicherheit verantwortlich? Sicherheit kann künftig ja auch ein Gütesiegel, eine Art ein Aushängeschild sein. Wie sehen Sie das, Herr Dolle?

Wilhelm Dolle: Aus Sicht der Regierung ist die Meldepflicht eine sinnvolle Sache. So ließe sich mit den Meldungen ein umfassendes Bild der Gefährdungslage erstellen. Der deutschen Wirtschaft hilft die Pflicht jedoch nur, wenn das BSI die Meldungen nicht nur entgegennimmt, sondern auch auswertet und den Betreibern von Kritischen Infrastrukturen zeitnah Informationen und Unterstützung zur Verfügung stellt. Doch dazu ist das BSI aktuell weder fachlich noch personell in der Lage. Dies ist dem BSI auch bekannt. Im Rahmen des Gesetzes werden zwischen 115 und 216 neue Stellen sowie Sachmittel für das BSI diskutiert.

Natürlich ist jedes Unternehmen selbst für die Umsetzung von angemessenen Sicherheitsmaßnahmen verantwortlich. Die Praxis zeigt allerdings, dass dieser Aspekt häufig entweder aus Unwissen oder aus Kalkül anderen Themen untergeordnet wird. Freiwillige Selbstverpflichtungen, sowohl der Wirtschaft als auch der öffentlichen Hand, haben in der Vergangenheit nicht den gewünschten Erfolg gebracht. Nachweisbare Sicherheit kann selbstverständlich für Unternehmen – aber auch für den gesamten Standort Deutschland – zu einem Aushängeschild werden.

Herr Geschonneck, Unternehmen fürchten, dass sie durch die Offenlegung öffentlich an den Pranger gestellt werden könnten, ist die Angst berechtigt?

Alexander Geschonneck: Diese Gefahr besteht, wenn Informationen über den Vorfall an die Öffentlichkeit gelangen würden. Wir erleben in unserer täglichen Arbeit, dass oft die Veröffentlichung des Vorfalls zum eigentlichen Reputationsschaden führt und den direkten Schaden durch den Angriff um ein Vielfaches übersteigen kann.

Herr Dolle, das Gesetz ist gerade verabschiedet, schon im Vorfeld regte sich Widerstand. Das Gesetz sei lückenhaft, an wichtigen Stellen zu schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?

Wilhelm Dolle: Im Mittelpunkt stehen in diesem Kontext die Betreiber der sogenannten Kritischen Infrastrukturen. Das IT-Sicherheitsgesetz löst jedoch noch nicht auf, wer zur Gruppe dieser „KRITIS-Betreiber“ zählt. Bis zum Erlass der klärenden Rechtsverordnung zum ITSiG durch das Bundesministerium des Innern hilft deshalb nur die offizielle, aber wenig konkrete KRITIS-Definition: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Eine Ausnahmeregelung wurde nur für Kleinunternehmen mit weniger als 10 Mitarbeitern geschaffen. Obwohl selbst bei einer Mindestgrenze von 250 Mitarbeitern mehr als 18.000 Unternehmen in Deutschland unter das Gesetz fallen würden, geht das BMI von eher 2.000 Unternehmen aus. Hier besteht in den noch zu veröffentlichen Verordnungen deutlicher Konkretisierungsbedarf. Dies trifft analog auf die Definition eines meldepflichtigen Vorfalls und den Umfang der Meldung zu.

Herr Geschonneck, Sie kommen immer dann ins Unternehmen, wenn es bereits lichterloh brennt. Treffen Sie oft auf hilflose oder ahnungslose CIOs?

Alexander Geschonneck: Die Situation ist oft ähnlich. Ahnungslos sind die wenigsten, sie glauben nur, dass es sie nicht treffen kann. In unserer diesjährigen eCrime-Studie haben wir dargelegt, dass man Unternehmen in zwei Gruppen einteilen kann: Diejenigen, die bereits betroffen waren und die, die betroffen sein werden. Dies bedeutet, dass jede Organisation Opfer von Cyberkriminellen werden wird. Mit dieser Gewissheit lassen sich Preventions-, Detektions- und Detektionsmaßnahmen viel realistischer planen. Cyberangriffe müssen Bestandteil der Notfallplanung sein und die Reaktion darauf muss geübt werden. Am Ende ist es auch ratsam, die Telefonnummer eines erfahrenen Forensik-Dienstleisters parat zu haben, der einem in der Krise helfen kann, weil dies sein Tagesgeschäft ist.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform