Auch wenn das IT-Sicherheitsgesetz noch immer nicht vollständig ausdefiniert ist und Angaben zu konkreten Maßnahmen ganz vermissen lässt, müssen sich Betreiber Kritischer Infrastrukturen intensiv mit dem Thema beschäftigen. Denn eine kleine Panne genügt, um eine Kettenreaktion mit einschneidenden Folgen für die Gesellschaft auszulösen, die von eben jenen Kritischen Infrastrukturen abhängig ist. Doch nicht nur Kritis-Betreiber sind gefragt. Alle Unternehmen sollten die gesetzliche Vorlage als Wegweiser für systematische IT-Sicherheit verstehen.

Das IT-Sicherheitsgesetz bleibt einigermaßen vage: Nach und nach nur werden die einzelnen Verordnungen erlassen, konkrete Maßnahmen benennt es nicht und es spricht von der Gefahrenabwehr mit Mitteln entsprechend dem „Stand der Technik“. Wie nützlich ist das Gesetz in der täglichen Praxis?

Für Betreiber Kritischer Infrastrukturen ist das IT-Sicherheitsgesetz ab Mai 2018 rechtlich bindend. Das bedeutet, wer es nicht einhält, kann strafrechtlich mit Bußgeldern belangt werden. Wer per Definition zu diesen Betreibern gehört, legt die sogenannte Kritis-Verordnung anhand von Schwellenwerten fest. Für andere Unternehmen können und sollten die Vorgaben eine gute Leitlinie sein, um ihre IT-Sicherheit neu zu bewerten. Denn es geht um das Bewusstsein für eine umfassende IT-Sicherheit, die über die rein technische Absicherung der IT-Infrastruktur hinausgeht.

Kaum ein Unternehmen muss heute noch davon überzeugt werden, sich um seine IT-Sicherheit zu kümmern. Warum ist das IT-Sicherheitsgesetz trotzdem sinnvoll?

In nahezu allen Unternehmen, die sich mehr oder weniger auf ihre IT-Infrastruktur verlassen können müssen, ist IT-Sicherheit ein wichtiges Thema. Oft wird jedoch nur punktuell abgesichert: mit einer Firewall etwa. Das ist ein guter Anfang, aber um wirklich gewappnet zu sein, reicht das bei weitem nicht aus. Nur in wenigen Unternehmen wird IT-Sicherheit ganzheitlich betrachtet: Das heißt, regelmäßige Sicherheitsaudits oder definierte Prozesse für den IT-Krisenfall sind eine Seltenheit. Weil IT-Pannen bei Betreibern Kritischer Infrastrukturen Folgen für die Grundversorgung der Bevölkerung haben können – vom Stromausfall bis zur fehlenden medizinischen Versorgung –, verpflichtet der Gesetzgeber diese nun, entsprechende Präventiv-Maßnahmen zu ergreifen. Mögen die Folgen solcher Vorfälle bei „normalen“ Unternehmen auch weniger weitreichend sein, ein IT-Sicherheitsproblem kann bedeutende finanzielle Verluste und hohen Imageschaden nach sich ziehen. Was ich damit sagen will: Das IT-Sicherheitsgesetz bildet mit all seinen Verweisen auf ISO-Normen oder das IT-Grundschutz-Regelwerk eine wertvolle Grundlage, an der man sich bei der Konzeption der eigenen IT-Sicherheitsstrategie entlanghangeln kann.

Wie ein umfassendes IT-Sicherheitskonzept aussieht erläutert IT-Sicherheitsexperte Sebastian Brabetz in seinem Blogbeitrag „Drei Fragen zum IT-Sicherheitsgesetz. Folgen Sie dem unten stehenden Link.

Weiterführende Links

• Originalmeldung von mod IT GmbH
• Alle Meldungen von mod IT GmbH