Der Bundestag hat am 12. Juni 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) verabschiedet, am 25. Juli wurde es im Bundesgesetzblatt veröffentlicht. Ziel ist ein verbesserter Schutz vor Cyber-Angriffen, also meist gezielten Angriffen über das Internet auf die internen Netze und Server des Unternehmens.

Betroffene Unternehmen

Betroffen sind Unternehmen, die als Betreiber sog. „kritischer Infrastrukturen“ eingestuft werden, dies sind in Deutschland schätzungsweise 2000 Unternehmen aus den Bereichen

• Energie,
• Informationstechnik und Telekommunikation,
• Transport und Verkehr,
• Gesundheit,
• Wasser,
• Ernährung sowie
• Finanz- und Versicherungswesen.

Konsequenz für die betroffenen Unternehmen

Die Betreiber „kritischer Infrastrukturen“ müssen zukünftig sowohl branchenübliche Mindeststandards zur IT-Sicherheit gemäß dem Stand der Technik einhalten als auch Angriffe auf Computer und Netzwerke dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Erstmalig müssen diese Standards innerhalb von zwei Jahren per Audit nachgewiesen werden, anschließend ist eine Überprüfung alle vier Jahre erforderlich.

Werden die Standards nicht erreicht oder die Meldepflicht nicht eingehalten, drohen Bußgelder in Höhe von bis zu 100.000 EUR.

Kritik

Das Gesetz kam mit Stimmen der Großen Koalition zustande, Kritik kommt von Seiten der Opposition und verschiedener Experten.

Einigen Stimmen geht das Gesetz nicht weit genug, da keine konkreten präventiven Maßnahmen gefordert werden. Hier könnte insbesondere durch Sensibilisierung der Mitarbeiter ein großer Fortschritt erreicht werden.

Häufige Kritik ist, dass die Angreifer, professionelle Hacker mit großer Expertise und in der Regel großen Ressourcen, den Unternehmen ohnehin um Welten voraus seien und daran auch gesetzlich geforderte Mindeststandards nichts ändern.

Auf der anderen Seite stellt das Gesetz einen ersten Schritt dar, Sicherheitsstandards endlich auch gesetzlich zu verankern. Damit wird das Thema IT-Sicherheit mehr in das Bewußtsein von Unternehmen und Bürgern (= Mitarbeitern) gerückt, es ist bekannt, dass diese Awareness eine Grundvoraussetzung für sichere IT-Prozesse und Systeme ist. Natürlich: genau dies steht selbstverständlich nicht nur den „Betreibern kritischer Infrastrukturen“ gut zu Gesicht, denn auch andere Unternehmen haben schützenswerte Vermögenswerte – seien es Know-how und Daten aus Forschung und Entwicklung, Finanzinformationen oder personenbezogene Daten.

Die klare Empfehlung lautet daher:

Befassen Sie sich mit den Assets Ihres Unternehmens, definieren Sie den Schutzbedarf und analysieren Sie die bestehenden technischen und organisatorischen Maßnahmen in IT- und Fachabteilungen. Mit einer Gap-Analyse finden Sie heraus, welche Bestandteile beim Schutz noch fehlen und wie es um die Compliance von evtl. bestehenden Regelungen und Richtlinien im Unternehmen bestellt ist.

Mit langjährigem Know-how und der Expertise einer internationalen Prüfungs- und Beratungsgesellschaft unterstützen wir Sie dabei, z.B. mit dem Cyber-Sicherheits-Check.