IT-Sicherheitsgesetz 2.0
Kritisches besser schützen
Fortsetzung des Artikels von Teil 1
Planen, umsetzen, prüfen, handeln
Eine ISMS-Einführung erfolgt nach der PDCA-Methode (Plan, Do, Check, Act). Der PDCA-Zyklus ist ein wirksames Vorgehen zur Optimierung von Prozessen und kommt in vielen Unternehmensbereichen regelmäßig zum Einsatz. Zur Optimierung der IT-Sicherheit definieren die Projektbeteiligten im Rahmen von Workshops und anhand einer unternehmensspezifischen Gewichtung der Säulen Vertraulichkeit, Integrität und Verfügbarkeit zunächst, welche Sicherheitsniveaus zu erreichen sind. Dann spielen sie Szenarien durch, die deren Erreichen verhindern könnten. Im Anschluss stellen sie Maßnahmen zusammen, mit denen sich Risiken vermeiden lassen. Schließlich sind Maßstäbe zur Validierung der Methodenwirksamkeit festzulegen.
Ein zentraler Aspekt bei allen Schritten ist der Mensch. Deswegen muss das Thema Social Engineering, also die Berücksichtigung der Mitarbeiter als potenzielle Betrugsopfer, bei der Einführung eines ISMS eine zentrale Rolle spielen. Dabei muss ein Unternehmen im ISMS klare Zuständigkeitsbereiche festlegen, sodass im Ernstfall jeder weiß, was zu tun ist. Erst ganz am Ende dieser Planungsaufgaben steht die Umsetzung der Maßnahmen.
Notfallszenarien definieren
Neben einem ISMS ist es für Kritis-Betreiber zur Erfüllung der IT-SiG-2.0-Anforderungen wichtig, eine Notfallplanung auf den Weg zu bringen. Sie definiert kritische Ereignisse wie auch Prozesse und legt fest, wer wann welche Maßnahmen in welcher Reihenfolge ergreifen muss.
Typische Notfälle sind der Ausfall von IT-Systemen, Hacker-Angriffe, Personalausfall, der Ausfall von Gebäuden und Dienstleistern oder höhere Gewalt und Naturkatastrophen. Als konkretes Ausfallszenario findet sich in vielen Notfallhandbüchern ein Stromausfall, der einen Ausfall kritischer Server bewirkt.
Zur Notfallplanung müssen sich Kritis-Betreiber bei einem solchen Vorfall eine Reihe von Fragen stellen: Ist ein Notstromaggregat vorhanden? Will man den Server in einem externen Rechenzentrum wieder hochfahren? Gibt es Server an unterschiedlichen Standorten, die bei Ausfall einspringen können? Welche Ausfallzeit können die Prozesse verkraften? Was hat den Stromausfall hervorgerufen? Wer ist zuständig für welchen Prozess? Darauf aufbauend können Kritis-Betreiber konkrete Maßnahmen und Zuständigkeiten festlegen. Analog ist das Vorgehen für weitere Szenarien, die man in der Notfallplanung definiert.
Angriffen zuvorkommen
Der Zeitpunkt für die Verabschiedung des IT-SiG 2.0 ist noch nicht abzusehen. Dann haben Kritis-Betreiber eine Übergangsfrist, bis alle Anforderungen umgesetzt sein müssen. Betreiber kritischer Infrastrukturen sollten den Bedarf an Zeit und Personalressourcen bei der Einführung eines IT-Sicherheitskonzepts jedoch nicht unterschätzen. Dabei ist ein IT-Sicherheitskonzept mit zeitlichem Vorlauf wirksamer als eines, das man in letzter Minute auf den Weg bringt. Kritis-Betreiber müssen neben allen gesetzlichen Vorgaben vor allem in IT-Sicherheit investieren, bevor ein zerstörerischer Angriff sie dazu zwingt und ihre Infrastruktur mit verheerenden Folgen lahmlegt. Und auch wenn der Referentenentwurf bisher noch zentrale Fragen offenlässt, verdeutlicht er einmal mehr die Bedeutung der IT- Sicherheit.
Marco Gräf ist Teamleiter Vertrieb und Kommunikationsinfrastruktur bei Q-Soft,
www.q-soft.de.
- Kritisches besser schützen
- Planen, umsetzen, prüfen, handeln
Lesen Sie mehr zum Thema
