Neues IT-Sicherheitsgesetz

Unternehmen sind nahezu unvorbereitet

15. Juni 2015, 10:50 Uhr | Sven Steinert, Berater für Informationssicherheit und Datenschutz bei Air-IT-Systems

Am 12. Juni beschloss der Bundestag ein neues IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen vor Cyberangriffen. Sven Steinert, Berater für Informationssicherheit und Datenschutz bei Air-IT-Systems, über das umstrittene Gesetz.

Das neue Gesetz betrifft circa 2.000 Unternehmen, die zum größten Teil einen enormen Nachholbedarf an IT-Sicherheit haben und heute nahezu unvorbereitet mit der neuen Gesetzgebung konfrontiert werden. Erfahrungsgemäß sind beispielsweise Stadtwerke oder Krankenhäuser in ihren IT-Abteilungen personell eher dünn aufgestellt. Ein für die IT-Sicherheit eigentlich dringend erforderliches Information-Security-Management-System (ISMS) ist dort meistens eine unbekannte Größe.

Zudem legen davon betroffene Unternehmen das Gesetz unterschiedlich aus – sogar betriebsintern. Einige tendieren zu der Grundhaltung, nur technische Gewerke abseits der IT zu verpflichten. So ist bei manchem Stadtwerk nach dieser Auffassung nur die Leitwarte als kritische Infrastruktur betroffen. Die IT mit den typischen EDV-Services der Office-Bereitstellung, ERP-Systemen etc. klammern Entscheider gerne aus, um Ausgaben für IT-Sicherheit zu vermeiden. Faktisch ist allerdings die Verzahnung von IT und den Leitstellennetzen bereits sehr hoch und muss zwingend ganzheitlich betrachtet werden. Leitstellen und technische Gewerke sind längst IT-Systeme. Moderne Leitstände oder auch profane Gebäudetechnik „sprechen heute IT“und sind ohne zentrale IT-Services aus dem Rechenzentrum heraus bald nicht mehr zu betreiben.