Alyned Thinking

Why new thinking is needed and how we are putting our expertise to work.

IT-Sicherheitsgesetz Teil 3 - Wie effektiv ist es wirklich und was kann ich jetzt schon tun?

Legal text being accessed on a computer

Im letzten Artikel haben wir gelernt, was eigentlich zu tun ist, um sich an das IT-Sicherheitsgesetz zu halten und welche Konsequenzen bei Nichtbefolgung drohen. Abschließend möchte ich dazu noch meine persönliche Einschätzung darlegen, sowie dem geneigten Leser ein paar Tipps & Tricks mit auf den Weg geben, was man auch jetzt so oder so tun sollte, um sich zu schützen und damit dann gleichzeitig auch für dieses Gesetz gewappnet ist.

Schon während der ganzen Entwurfsphase war das Gezeter in der Industrie natürlich erstmal groß wegen der unklaren Spezifizierung wer Kritische Infrastruktur betreibt, was die genauen Standards sind und dass die Meldepflichten von Vorfällen ohne Auswirkungen wertlos seien und nur Kosten bei allen Beteiligten verursachen würden. Dies konnte man dann auch schon an den durch die kontinuierliche Lobbyarbeit immer weiter aufgeweichten Entwürfen entnehmen.

Und ich habe da selbst noch im letzten Job entsprechende Talking Points ins virtuelle Notizbuch der “Regulatory Affairs” Juristen diktiert, um über die Branchenverbände Einfluss auf die Gedankenfindung in der Casa “IT-Sicherheitsgesetz” zu nehmen.

Aber sind wir doch mal ehrlich, auch wenn es in Details noch Schwächen gibt, sind das alles Punkte, die durch die Security-Zunft schon seit Jahren gepredigt werden und daher halte ich das Ganze auch für einen Schritt in die richtige Richtung.

Meine Gedanken zu den angeblich fehlenden Standards habe ich oben schon dargelegt. Auch die Kritik bzgl. der unklaren Definition von Kritischen Infrastrukturen halte ich für verfehlt. Das ist doch ein klarer Fall von “you know it, when you see it”. Es mag da ein paar unklare Randfälle geben, aber bei gefühlt 95+% der Betreiber empfinde ich es als sehr eindeutig, ob sie da jetzt unter diese Definition fallen sollen oder nicht.

Die aktuellen OWis halte ich aber zumindest bei den großen Firmen für Papiertiger. Diese sind entweder eh schon so weit, dass sie die Standards erfüllen, oder sie werden sich durch 50.000 EUR auch nicht wirklich beeindrucken lassen.

KMUs (hallo Telemedienanbieter) kann das jedoch auch leicht mal das Genick brechen. Wie sieht es in solchen Fällen eigentlich mit der Geschäftsführerhaftung aus?

Das Vertrauen der Bevölkerung ist zumindest derzeit zutiefst erschüttert, wie auch eine aktuelle Umfrage von YouGov zeigt: 70% der Befragten, traut der deutschen Regierung nicht zu, dass sie Cyber-Attacken erfolgreich abwehren können. Den deutschen Unternehmen vertrauen sie da nur unwesentlich mehr (64% glauben es nicht).

Der erste Schritt, um nachhaltige Schritte zur Verbesserung zu erreichen, liegt immer erst einmal darin, dass man sich entsprechende Ziele setzt. Und genau dafür ist dieses Gesetz geeignet. In vier Jahren soll die Effektivität zudem wissenschaftlich untersucht werden und dann werden wir mal weitersehen.

In der Zwischenzeit gibt es auch noch ein paar Kleinigkeiten, die mich zumindest schmunzeln lassen:

  • Das BKA ist jetzt zuständig für die Verfolgung von § 202a-202c (Vorbereiten und Durchführen des Ausspähens und Abfangens von elektronischen Daten), 263a (Computerbetrug) und 303a (Datenveränderung). Bisher war das in der Verantwortung der Länder und wer einmal versucht hat, Cyber-Crime vor Gericht zu bringen, kennt die haare-raufende Verzweiflung, wenn sich Staatsanwälte und Richter nicht einigen können, in welchem Bundesland jetzt genau der Tatort ist (Sitz der betroffenen Firma, Wohnort des Täters, Server-Standort usw.) und sich monatelang den schwarzen Peter gegenseitig hin- und herschieben.

  • Die zuständigen Behörden bekommen 20 Millionen EUR mehr Budget und teilweise deutlich zweistellige neue Planstellen (office politics anyone?).

  • Der BSI Präsident wird auf Besoldungsstufe B7 gehoben und bekommt damit mindestens 500 EUR mehr Gehalt.

Was kann ich jetzt schon tun?

Wie bereits dargelegt, gibt es noch ein paar Unklarheiten bzgl. des Anwendungsbereichs und der genauen Vorgaben. Es wäre jedoch jetzt unsinnig, bis zur weiteren Ausgestaltung zu warten und bis dahin nichts zu tun.

Einige Punkte können hier klar empfohlen werden, da sie zu allgemeinen guten Praktiken der Informationssicherheit gehören und unabhängig von Gesetzen und Strafandrohungen durchgeführt werden sollten, um die Risiken für das eigene Unternehmen unter Kontrolle zu halten.

Tipps & Tricks

  • Eigene Risikoanalyse, ob man erwarten kann, zu den kritischen Infrastrukturbetreibern gezählt zu werden

  • Orientierung an gängigen Industriestandards (ISO/IEC 27001)

  • Regelmäßige Zertifizierung und Auditierung nach diesen Standards

  • Identifizierung der “Kronjuwelen” und der Prozesse mit dem höchsten Schutzbedarf, Abschottung dieser Prozesse und Assets von denen mit geringerem Schutzbedarf, sowie Fokussierung der Schutz- und Überwachungsmaßnahmen auf die Hoch-Risiko Themen

  • Kontaktwege zu den Behörden aufbauen, auch wenn man (noch) nicht dazu verpflichtet ist. Dies geht z.B. über die Allianz für Cyber-Sicherheit direkt beim BSI oder bei manchen Landesverfassungsschutzbehörden (z.B. Cyber Allianz Zentrum des Bayerischen Verfassungsschutzes). Dabei dafür sorgen, dass die Behörden wissen, wie sie das eigene Security Operations Center jederzeit erreichen können und umgekehrt. Dies ist besonders wichtig, da ein großer Teil der Advanced Persistent Threat (ATP) Angriffe nicht durch die Unternehmen selbst entdeckt wird, sondern durch Hinweise von Geheimdienst- und Strafverfolgungsbehörden.

  • Rahmenverträge verhandeln mit spezialisierten Incident Response Firmen wie z.B. Mandiant, Verizon Security oder Corporate Trust, um diese im Fall der Fälle schnell und unbürokratisch einsetzen zu können.

IT-Sicherheitsgesetz Teil 1 - Was ist das eigentlich?

IT-Sicherheitsgesetz Teil 2 - Was ist zu tun?

IT-Sicherheitsgesetz Teil 3 - Wie effektiv ist es wirklich und was kann ich jetzt schon tun?

Stefan Sulistyo
Author: Stefan Sulistyo
Co-Founder & Chief Customer Officer
google plus
About the author
Co-Founder & CCO of Alyne, 10+ year InfoSec & GRC veteran, first of his name, waiting for the singularity.