IT-Sicherheitsgesetz | KPMG | DE
close
Share with your friends
Sicherheitsgesetz

Sicherheitsgesetz

Haben Sie was zu melden?

Keyfacts über Internetkriminalität

Internetkriminalität

Sicherheit als Gütesiegel • Reputationsschäden werden unterschätzt • Cyberangriffe gehören zur Notfallplanung

IT-Sicherheitsgesetz: Haben Sie was zu melden?

Die Welt wird digitaler, damit steigt die Zahl der Hacker. Jetzt hat der Gesetzgeber das IT-Sicherheitsgesetz entworfen. Die Experten Wilhelm Dolle und Alexander Geschonneck schätzen ein, was wir davon erwarten können.

Herr Dolle, brauchen wir ein IT-Sicherheitsgesetz?

Dolle: Innenminister de Maizière will Deutschlands IT-Systeme zu den sichersten der Welt machen. Der aktuelle Vorfall im deutschen Bundestag ist nur ein Beispiel dafür, dass IT-Sicherheit mehr Aufmerksamkeit braucht.

Kritiker befürchten dennoch ein für die Unternehmen teures Bürokratiemonster. Zum jetzigen Zeitpunkt kann der Aufwand für die Umsetzung der drei Hauptforderungen des Gesetzes – Meldepflicht, allgemeine und branchenspezifische Mindestsicherheitsstandards und ein regelmäßiger Nachweis – noch nicht beziffert werden.

Herr Geschonneck, das IT-Sicherheitsgesetz ist verabschiedet, Betreiber Kritischer Infrastrukturen müssen Angriffe auf ihr Sicherheitssystem künftig melden – was soll das bringen?

Geschonneck: Zuerst müssen sich die betroffenen Unternehmen mit den Sicherheitsvorfällen beschäftigen. Dazu gehört u.a. zu erkennen, ob die Störung in einem KRITIS [Kritische Infrastrukturen, Anm. d. Red.]-relevanten Kontext erfolgt, was Ursache war und auch welche Auswirkungen zu erwarten sind. Dazu bedarf es zuverlässiger Detektionsmöglichkeiten, die in einen angemessenen Reaktions- und Meldeprozess münden. Eine forensische Ermittlung des Vorfalls ist dann unumgänglich, um den Anforderungen des Gesetzgebers gerecht zu werden. Allerdings ist dabei zu überlegen, wie Vertraulichkeit gewahrt werden kann.

Meldungen über Sicherheitsvorfälle dienen dazu, Informationen über besonders betroffene Technologien oder Branchen zu erhalten. Hierzu muss bei einer Behörde ein riesiger Datenschatz aufgebaut werden, der seinerseits Begehrlichkeiten wecken dürfte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll andere Unternehmen durch die gewonnenen Informationen warnen, ist jedoch nicht jedes Unternehmen selbst für seine Sicherheit verantwortlich? Sicherheit kann künftig ja auch eine Art ein Aushängeschild sein.

14,1% machten Hackerangriffe aller Unternehmensschäden in den letzten drei Jahren aus.

Dolle: Durch die Meldepflicht ließe sich ein umfassendes Bild der Gefährdungslage erstellen. Der deutschen Wirtschaft hilft die Pflicht jedoch nur, wenn das BSI die Meldungen nicht nur entgegennimmt, sondern auch auswertet und die Betreiber Kritischer Infrastrukturen unterstützt. Dazu ist das BSI aktuell nicht in der Lage. Im Rahmen des Gesetzes werden zwischen 115 und 216 neue Stellen sowie Sachmittel für das BSI diskutiert.

Natürlich ist jedes Unternehmen selbst für Sicherheitsmaßnahmen verantwortlich. In der Praxis wird dieser Aspekt oft vernachlässigt. Nachweisbare Sicherheit kann selbstverständlich für Unternehmen – aber auch für den gesamten Standort Deutschland – zu einem Aushängeschild werden.

Herr Geschonneck, Unternehmen fürchten, durch die Offenlegung an den Pranger gestellt zu werden, ist die Angst berechtigt?

Geschonneck: Diese Gefahr besteht, wenn Informationen über einen Vorfall öffentlich werden. Wir erleben in unserer täglichen Arbeit, dass dies zu einem Reputationsschaden führt, der den Schaden durch den Angriff um ein Vielfaches übersteigen kann.

Herr Dolle, das Gesetz ist gerade verabschiedet, schon im Vorfeld regte sich Kritik, das Gesetz sei schwammig formuliert. Wann ist eine Infrastruktur beispielsweise kritisch?

Dolle: Das IT-Sicherheitsgesetz löst noch nicht auf, wer zur Gruppe dieser „KRITIS-Betreiber“ zählt. Bis zum Erlass des ITSiG hilft deshalb nur die offizielle KRITIS-Definition: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.

Herr Geschonneck, Sie kommen immer dann ins Unternehmen, wenn es bereits lichterloh brennt. Treffen Sie oft auf hilflose oder ahnungslose CIOs?

Geschonneck: Ahnungslos sind die wenigsten, sie glauben nur, dass es sie nicht treffen kann. In unserer diesjährigen eCrime-Studie haben wir dargelegt, dass jede Organisation Opfer von Cyberkriminellen werden wird. Mit dieser Gewissheit lassen sich Präventions- und Detektionsmaßnahmen realistisch planen. Cyberangriffe müssen Bestandteil der Notfallplanung sein und die Reaktion darauf muss geübt werden. Ratsam ist es auch, die Telefonnummer eines erfahrenen Forensik-Dienstleisters parat zu haben, der in der Krise helfen kann.