IT-Sicherheitsgesetz 2.0: Das müssen Unternehmen & Institutionen jetzt wissen
Das neue IT Sicherheitsgesetz verspricht mehr Schutz vor Cyber-Angriffen. Was das für Sie als Unternehmen oder Institution einer systemrelevanten Branche bedeutet und welche Maßnahmen jetzt nötig sind: Frank Wischer, Head of Governance & Security bei EWERK zeigt, worauf es ankommt und warum ein neues IT Sicherheitsgesetz wichtig ist.
Das Jahr 2020 war geprägt von böswillig verschlüsselten Servern, Netzwerkproblemen und Totalausfällen von IT-Infrastrukturen. Die Opfer: Große Konzerne wie die Funke-Mediengruppe oder das Krankenhaus der Uniklinik Düsseldorf. Die Zahlen steigen stetig. Seit fünf Jahren haben sich die Fälle von Cyberkriminalität in Deutschland verfünffacht. Vor allem Hacker-Angriffe, Trojaner und Viren setzen sowohl Unternehmen als auch öffentlichen Einrichtungen zu. Allein im Jahr 2019 betrug der Schaden laut BITKOM für die deutsche Wirtschaft mehr als 100 Milliarden Euro.
Sicherheitsstandards von heute sind morgen nichts mehr wert
Doch was genau passiert, wenn Hacker angreifen? Durch Schlupflöcher in vermeintlich sicheren Systemkomponenten verschaffen sich Cyberkriminelle Zugriff auf Rechner, Server und Netzwerke. So beispielsweise mit dem Systemtrojaner WannaCry, der über eine Windows-Sicherheitslücke Rechner verschlüsselt. Angriffe wie dieser setzen einen Schneeballeffekt in Gang: Dateien werden gesperrt oder im schlimmsten Fall gelöscht, Server- und Kommunikationssysteme lahmgelegt. Das wiederum hat Auswirkungen auf die Infrastruktur, auf die Produktion und letztlich den Umsatz – im Fall von Gesundheitseinrichtungen wie Krankenhäusern sind sogar Menschenleben in Gefahr. Oft der einzige Ausweg: enorme Summen an Lösegeld.
Fakt ist: Digitalisierung und Automatisierung bieten Cyberkriminellen mehr Angriffsfläche als je zuvor. Agil auf die Gefahren aus dem Cyberspace zu reagieren ist elementar, damit Wirtschaft, Politik und Gesundheitswesen funktionieren. Sicherheitsstandards, die gestern noch funktionierten, sind deswegen heute bereits überholt. Was es jetzt braucht: Einen Gesetzesentwurf, der digitales Leben sicherer macht und eine Erhöhung des Schutzes Deutschlands kritischer Infrastrukturen vorgibt. Denn die Zeit ist bereits lange reif für ein verbessertes, neues IT Sicherheitsgesetz für KRITIS.
IT-Sicherheitsgesetz & IT-Sicherheitsgesetz 2.0: Das Wichtigste in Kürze
Als Teil der „Digitalen Agenda“ der Bundesregierung soll das BMI IT-Sicherheitsgesetz seit 2015 dazu beitragen, die Bevölkerung, Unternehmen und Behörden besser vor Cyber-Angriffen zu schützen. Zu den wesentlichen Gesetzesinhalten gehören Meldepflichten von Sicherheitsvorfällen für Betreiber kritischer Infrastrukturen (kurz: KRITIS). Dazu zählen Unternehmen, die zur Grundversorgung der Bevölkerung beitragen – etwa mit Energie, Trinkwasser oder Telekommunikation.
Jetzt erweitert das Bundesministerium für Bau und Heimat (BMI) den gesteckten Rahmen des IT-Sicherheitsgesetzes mit einer Version 2.0: dem „IT-SiG2“. Das überarbeitete Gesetz soll unter anderem den Kreis an Unternehmen erweitern, die kritische Infrastrukturen betreiben. Des Weiteren soll es in Zukunft ergänzende IT-Sicherheitspflichten für Unternehmen geben, eine längere Speicherung von Protokolldaten ebenso wie veränderte Anforderungen an Hersteller kritischer Komponenten. Noch liegt keine finale Fassung des neuen IT Sicherheitsgesetzes vor – auch, weil die Erweiterungen eine Änderung des Telemediengesetzes nach sich ziehen. Es obliegt vorerst den Unternehmen und Institutionen, mit gutem Beispiel voranzugehen und notwendige Sicherheitserhöhungsmaßnahmen zu etablieren, die die eigene Sicherheit garantieren und für die kommenden Anforderungen des IT-SiG2 gewappnet zu sein.
Wie können sich Unternehmen vor Cyberangriffen schützen?
Ganzheitliche IT-Security-Maßnahmen sind heute Pflicht, aber mit komplexen Aufgaben verbunden. Die Herausforderung: Risiken und Schlupflöcher erkennen, bevor andere es tun. Häufig fehlt es Unternehmen dafür jedoch an Expertise und Personalstärke. So benötigt allein die Einführung eines IT-Sicherheitsmanagementsystems zwischen 100 und 150 Personentage. Die Lösung, um diese und weitere Anforderungen des überarbeiteten Gesetzes zu realisieren: Hochspezialisierte IT-Outsourcing-Partner wie EWERK, die IT-Infrastrukturen von Unternehmen mit neuesten Technologien schützen und sowohl die höchsten Standards auch über das IT Sicherheitsgesetz hinaus für kritische Infrastrukturen wie Gesundheitswesen und Energieversorger kennen als auch die Umsetzungsexpertise besitzen. Unternehmen profitieren mit dieser Lösung von zahlreichen Vorteilen auch über die Umsetzung des IT Sicherheitsgesetzes hinaus:
- Anspruch auf die jeweils aktuellen Security-Methoden & -Technologien, in vollem Umfang
- Individuelle Beratung von IT-Experten
- Automatisierte Dokumentation von Bedrohungen und Risiken
- IPS- und IDS-Lösungen, die dynamisch vor Bedrohungen schützen und intelligent dazulernen
- Mehr Ressourcen fürs Kerngeschäft
- Sicherheitsmaßnahmen frühzeitig implementieren …
- … und schon jetzt die Kriterien für das IT-Sicherheitsgesetz 2.0 erfüllen
