Die Gesetzeskeule
Das Dreigespann aus Sarbanes-Oxley Act, Basel II und KonTraG verbreitet viel Lärm – und Angst. Wer gegen die Vorlagen verstößt, so heißt es, steht mit einem Fuß im Knast.
Scharfe Argumente, die da auf Geschäftsführer und Administratoren einprasseln. Haben die Gesetze doch auch irgendwie mit der EDV zu tun. Und damit irgendwie direkt oder indirekt auch mit ihnen. Aber wer ist schon Jurist genug, um das Gesetzeskauderwelsch zu verstehen, geschweige denn auf die eigene Situation anzuwenden. Höchstens ein echter Jurist. So einen hat Network Computing in Person von Jyn Schulze-Melling gewonnen. Er wird uns allen hilfreich beistehen. In den kommenden Ausgaben bezieht er zu den aktuellen Themen Stellung und beschreibt vor allem die Folgen für die Praxis eines Administrators.
So ernst einige Konsequenzen plakatiert werden, einen wahren Kern haben sie. Im Grunde legen die jungen Bestimmungen fest, dass ein Unternehmen Vorkehrungen treffen muss, den Ernstfall für ihr Geschäft abzufedern. Weil heute jeder sein Geschäft IT-gestützt abwickelt, ist die EDV mit hineingerutscht. Und weil Angriffe die Verfügbarkeit der EDV gefährden – und damit das Geschäft –, ist die IT-Security auch gleich mit dabei. Direkte Vorgaben wie »ein Intrusion-Prevention-System muss aber sein« machen die Gesetze nicht. Wie könnten sie auch, ist doch jedes Netzwerk individuell. Die Gesetzestexte machen diese Vorgaben aber »hinten herum«, unter anderem KonTraG oder der Sorbanes-Oaxley Act. Das Unternehmen ist beispielsweise dazu verpflichtet, etliche Finanz- und Bilanz-Berichte zu erstellen. Für die Korrektheit der Inhalte steht der Geschäftsführer ein, auch der einer GmbH. Wenn nun ein Hacker, ein Wurm oder Virus diese Berichte vernichtet oder, schlimmer noch, verfälscht, entsteht ein Schaden, den möglicherweise irgendjemand einklagt. Vor Gericht muss der Geschäftsführer dann Auskunft geben, ob er alle notwendigen und wirtschaftlich vertretbaren Maßnahmen getroffen hat, um diesen Angriff zu unterbinden. Dabei weiß auch das Gericht: 100-prozentige Sicherheit gibt es nicht. Und wird, wurden alle nötigen Maßnahmen getroffen, niemanden schuldig sprechen.
Ein Konstrukt, das ein Unternehmen aber dazu zwingt, auf der Allgemeinheit bekannte Gefahren in der IT-Sicherheit zu reagieren. Beispiel Distributed-Denial-of-Service: Gilt er schon als allgemein bekannte Gefahr? Wenn nicht heute, dann sicher kommendes Jahr. Dumm nur, wenn der eigene Chef noch nie davon gehört hat und überhaupt nicht einsieht, in ein entsprechendes Abwehrsystem zu investieren. Um übrigens mehr Transparenz zu schaffen, haben die Real-World Labs in dieser Ausgabe untersucht, ob die jüngste Generation von Deep-Inspection-Firewalls etwas taugt. Gilt sie doch als die aktuell beste Antwort der Industrie auf die neuen Bedrohungen.
Heißt es, dass ein Administrator jeden Monat eine kleine Präsentation aus dem »Almanach zu Attacken, Gefahren und Abwehrsystemen von heute« vor seinem Chef halten muss? Einfacher wird seine Arbeit dadurch nicht.
Schulze-Melling findet hierzu Antworten. Er wird praktische Folgen der Gesetze und bestimmter Verhalten ausarbeiten und Leitfäden entwickeln, die auch den Chef überzeugen. Damit ihn die Gesetzeskeule nicht trifft.
Ihr Michael Piontek
