IT-Sicherheitsgesetz

Nur nicht in Hysterie verfallen

14. März 2016, 14:40 Uhr | Autor: Sven Steinert / Redaktion: Axel Pomper

Deutlich weniger Unternehmen als anfangs vorhergesagt, sind von dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz (ITSG) betroffen. Ein Kommentar, warum Unternehmen mit kühlem Kopf an die Sache herangehen sollten.

Als im vergangenen Jahr die Bundesregierung das IT-Sicherheitsgesetz beschloss, schlug die Neuigkeit landesweit große Wellen. Dass der Gesetzesentwurf nicht klar definierte, welche Unternehmen tatsächlich als Betreiber kritischer Infrastrukturen (KRITIS) gelten, verunsicherte viele. Dazu trugen maßgeblich auch die angedrohten Bußgelder bei, die zukünftig bei nicht ausreichenden Schutzmaßnahmen fällig werden. Nicht wenige Unternehmen ergriffen daraufhin Hals über Kopf mehr oder weniger sinnvolle Security-Maßnahmen, in der Hoffnung die noch schwammig formulierten Gesetzesinhalte irgendwie zu erfüllen. Doch erst vor Kurzem hat das Bundesinnenministerium in einem Referentenentwurf der Rechtsverordnung für die ersten Branchen Richtwerte veröffentlicht, die klar machen, welche Unternehmen wirklich unter das ITSG fallen. Und es zeigt sich: Es sind deutlich weniger betroffen, als von vielen angenommen.

Strategisches Vorgehen statt Aktionismus

Natürlich ist es immer richtig, die IT-Sicherheit im eigenen Unternehmen voranzutreiben und auf dem neuesten Stand zu halten. Weniger gut hingegen ist hysterischer Aktionismus, bei dem der ganzheitliche Blick auf der Strecke bleibt. So entstehen unter Umständen erst Schlupflöcher, die Cyberangriffe ermöglichen. Mit dem Referentenentwurf haben Unternehmen aus dem Energiesektor, der Wasserwirtschaft sowie Ernährung, Informationstechnik und Telekommunikation jetzt Gewissheit, ob tatsächlich Handlungsbedarf entsprechend der ITSG-Vorgaben besteht.

ISMS zentraler Baustein des ITSG

Dreh- und Angelpunkt des ITSG ist ein nach ISO 27001 zertifiziertes Information Security Management System (ISMS). Unternehmen weisen damit de facto nach, dass sie die im ITSG geforderten Sicherheitsstandards erfüllen. Sobald der Referentenentwurf rechtsgültig wird, haben sie sechs Monate Zeit diese umzusetzen. Da jetzt ersichtlich ist, wen das ITSG betrifft, sind die Unternehmen nun in der Lage, die geforderten Maßnahmen strategisch anzugehen. Wer selbst nicht über das Know-how für den Aufbau eines ISMS verfügt, greift am besten auf einen professionellen Security-Dienstleister zurück. So ist sichergestellt, dass die Maßnahmen zu einer erfolgreichen Zertifizierung führen und den Vorgaben des ITSG entsprechen. Für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr laufen aktuell die Verhandlungen zu den Schwellenwerten. Hier bleibt also noch abzuwarten, welche Unternehmen handeln müssen.

Sven Steinert ist Experte für Informationssicherheit und Datenschutz bei Air-IT-Systems