Feedback

Gepostet am 26. Juli 2016 von  Dr. Achim Stein, Manager bei Severn Consultancy GmbH in IT-Sicherheit

Neue Runde im Kampf gegen Cyberattacken

Die Bedrohungen im Bereich Cybercrime haben sich zu einem immer schwerer zu kalkulierenden Risiko für Unternehmen und Behörden entwickelt. Daher hat die rechtzeitige Reaktion auf erkannte Bedrohungen sowie die proaktive Sicherung der IT-Systeme vor IT-Risiken nun auch neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das Bundeskriminalamt und den Verfassungsschutz auf den Plan gerufen. Aus einem erst kürzlich veröffentlichten vertraulichen Papier des Innenministeriums geht hervor, dass durch die benannten Institutionen sogenannte "Quick Reaction Forces" gebildet werden sollen, die dann gemeinsam möglichen Angriffen auf die IT-Sicherheit entgegentreten.

IT-Sicherheitsmanagement im Fokus

Konkret plant Bundesinnenminister Thomas de Maizière (CDU) nach Medienberichten eine Veränderung der bisherigen Zuständigkeitsbereiche der Sicherheitsbehörden, um gerade auf digitale Angriffe im Bereich der kritischen Infrastrukturen (KRITIS) zielgerichteter agieren zu können. Dies ist in erster Linie als Konkretisierung des im letzten Jahr verabschiedeten IT-Sicherheitsgesetzes zu sehen und zeigt den akuten Handlungsbedarf von Behörden und Unternehmen auf, ihre IT-Systeme vor internen und externen Hackerangriffen besser zu sichern.

Neu ist allerdings, dass eine Prüfung bezüglich einer Hersteller- oder Betreiberhaftung für Software diskutiert wird. Dies bedeutet, dass Softwarehersteller oder -Entwickler von individueller Datenverarbeitung zukünftig für eventuell vorhandene Sicherheitslücken unmittelbar haftbar gemacht werden könnten. Darüber hinaus ist eine Stärkung der Zuständigkeiten des BSI vorgesehen sowie die Verschärfung der Mindestanforderungen an den sicheren IT-Betrieb für alle Unternehmen mit eigener oder an Provider ausgelagerte IT. Die Umsetzung eines funktionsfähigen IT-Sicherheitsmanagementsystems nach gängigem Standard (Cobit, ISO 27001) wird dabei für eine Vielzahl von Unternehmen die Herausforderung im IT-Bereich in den kommenden Monaten sein.

Erstmals europaweit einheitliche Regeln

Nicht nur auf nationaler, auch auf europäischer Ebene sind die Regulatoren aktiv geworden. Mit der Annahme der Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie) hat das Europäische Parlament am 6. Juli 2016 erstmals europaweit einheitliche Regeln zur Netz- und Informationssicherheit verabschiedet. Damit werden die KRITIS-Betreiber nun per Rechtsakt dazu verpflichtet, geeignete Schritte zur Beherrschung von Sicherheitsrisiken zu unternehmen. Außerdem müssen sie angemessene technische und organisatorische Fähigkeiten zur Prävention, Erkennung, Reaktion und Abschwächung von Sicherheitsvorfällen und Risiken bei Netz- und Informationssystemen nachweisen. (Die Detailansicht und Relevanzeinschätzung in Bezug auf die NIS-Richtlinie finden Regupedia-Kunden hier.)

Um die Tragfähigkeit der eigenen IT-Systeme im Hinblick auf die bereits bestehenden und kurzfristig geforderten Sicherheitslevels einschätzen zu können, hat sich die Durchführung regelmäßiger Funktionsfähigkeits- bzw. Wirksamkeitsprüfungen bestehender IT-Sicherheitsstandards als sinnvolle Vorgehensweise etabliert. Weitere Informationen zur Optimierung von IT-Sicherheitsstrukturen erhalten Sie bei Dr. Achim Stein.

Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.