KRITIS als Vorbilder: IT-Sicherheit braucht strategische Priorität

Stellungnahme von David Lin zu neuem „Whitepaper“ des TÜV Süd

[datensicherheit.de, 07.04.2016] Das IT-Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) wurde am 12. Juni 2015 vom Bundestag mach über zweijähriger Diskussion verabschiedet, am 10. Juli 2015 passierte es auch anstandslos den Bundesrat. Grundlage dieses Gesetzestextes ist die Entwurfsfassung vom Februar 2015 inklusive der vom Innenausschuss empfohlenen Änderungen. Mit „kritischen Infrastrukturen“ sind vor allem solche gemeint, die dafür sorgen, dass ein Gemeinwesen funktioniert – also Energieversorger, Betreiber von Krankenhäusern, Banken und Versicherungen, Transport- und Logistikfirmen, aber auch IT- und Telekommunikationsunternehmen.

Höheres Sicherheitsniveau angestrebt

Die branchenübergreifenden Regeln sollen nach einer aktuellen Stellungnahme von David Lin, Varonis, nicht nur für ein einheitliches, sondern vor allem für ein besseres Sicherheitsniveau sorgen.
Dazu existierten schon eine ganze Reihe von Rahmenwerken wie die ISO-Normenreihe, die IT-Grundschutzkataloge des BSI und Empfehlungen wie die der US-amerikanischen NIST. Welche technischen Maßnahmen konkret zu ergreifen sind, um eine kritische Infrastruktur zu schützen, habe der Gesetzgeber allerdings offen gelassen, erläutert Lin.
Ein neues „Whitepaper“ des TÜV Süd befasse sich unter anderem mit diesem Thema. Nicht ohne insbesondere darauf hinzuweisen, dass trotz der einschneidenden Datenschutzvorfälle zahlreiche Unternehmen und Organisationen auf zukünftige Herausforderungen gleich in zweierlei Hinsicht nicht ausreichend vorbereitet seien. Zum einen sei vielfach nicht bekannt, wie hoch der bereits existierende Level von Richtlinien und Regularien sei und mit welchen Folgen Unternehmen rechnen müssten, die sie nicht einhalten. Zum anderen werde vielerorts unterschätzt, dass nur ein holistischer IT-Sicherheitsansatz in der Lage sei, auf die aktuelle und zukünftige Bedrohungslandschaft zu reagieren.
Eine Studie von PriceWaterhouseCoopers habe bereits 2014 ermittelt, dass die Zahl der gemeldeten Sicherheitsverstöße um 43 Prozent auf beinahe 43 Millionen angestiegen sei. Dies entspreche einer durchschnittlichen Zahl von 117.000 Cyberattacken an einem einzigen Tag. Lin: „Und diese Zahlen sind umso erschreckender, wenn man davon ausgehen kann, dass laut PwC etwa 71 Prozent solcher Attacken ohnehin unbemerkt bleiben.“

Auch KMU im Visier

Die Verschärfungen der Richtlinien und Anforderungen gerade für den Finanzsektor, die Informationstechnologie selbst, das Gesundheitswesen, die Telekommunikation, die Energieversorger, aber auch für Logistikunternehmen, die Luftfahrt und das Militär könnten aber nicht darüber hinwegtäuschen, dass jedes Unternehmen einem hohen Risiko ausgesetzt sei und ganz im Gegensatz zu frühen Einschätzungen gerade auch kleine und mittelständische Unternehmen, warnt Lin.
Neben dem rein finanziellen Schaden hätten die Geschädigten aber noch mit einer ganzen Reihe weiterer Folgen zu kämpfen – dies seien der nicht zu unterschätzende Schaden eines möglicherweise ramponierten Rufs bei Kunden und Dienstleistern, der Verlust von vertraulichen und geschäftskritischen Informationen, und bei den KRITIS kämen die physischen Schäden noch dazu.

Risiken senken und Folgen potenzieller Schäden mildern

Hundertprozentige Sicherheit könne und werde es nicht mehr geben, davon gehe auch der TÜV Süd in seinem aktuellen „Whitepaper“ aus. Allerdings könne ein umfassender und kombinierter Ansatz die Risiken senken und die Folgen potenzieller Datenschutzverstöße mildern. „Die Experten schlagen dazu eine Kombination aus präventiven und reaktiven Methoden vor, die an ein Rahmenwerk für die IT-Sicherheit gekoppelt sind“, erläutert Lin.

Sicherheitsstandards auch übertragbar

Die Mehrzahl der existierenden Verordnungen und Standards seien sowohl auf die KRITIS als auch auf alle anderen Industriezweige anwendbar. Trotzdem sei unbestritten, dass Behörden, Regierungsinstitutionen, die Finanz- und Gesundheitsbranche stärker reguliert seien als andere, einfach deswegen, weil man von einem proportional stärker steigenden Risiko gegenüber anderen Branchen ausgehen könne. Lin: „Und die Konsequenzen potenzieller Datenschutzverstöße durch erfolgreiche Cyberattacken werden hier als ungleich weitreichender eingeschätzt.“

Schwachstellen erkennen

Verschiedene Faktoren begünstigen laut Lin, dass Schwachstellen entstehen oder bestehende einfacher – und mit einem höheren Schadenspotenzial – ausgenutzt werden. Nicht zuletzt nennt Lin den Menschen „als schwächstes Glied in der Kette“. Sei es, dass ein Insider selbst zum Täter werde – und dafür gebe es eine Reihe von Motiven – sei es, dass die Anmeldeinformationen eines mit den entsprechenden Zugriffsrechten ausgestatteten Mitarbeiters in die Hände Dritter gelangt seien und sich diese dann im Netzwerk bewegten wie ein ganz normaler Angestellter.

Empfehlungen des TÜV Süd

Für die Experten des TÜV Süd sei es offensichtlich, dass Unternehmen sich mit dem Gedanken anfreunden sollten, ein IT-Sicherheits-Framework in ihrem Betrieb zu etablieren – und zwar nicht nur in einzelnen Bereichen, sondern grundsätzlich.
Für die erfolgreiche Umsetzung solle man sich der Zustimmung des Managements versichern, IT-Sicherheitsmaßnahmen direkt an geschäftliche Anforderungen und Prozesse ankoppeln, ein komplettes IT-Sicherheitsmanagement-System implementieren, Chancen und Risiken neuer Technologien evaluieren, bevor sie im Unternehmen tatsächlich eingesetzt werden, bewusstseinsbildende Maßnahmen in allen Bereichen des Unternehmens vorantreiben sowie bewährte Konzepte und Standards nutzen.
„Angesichts der sich weiter rasant verändernden Bedrohungslandschaft ist es nicht nur für kritische Infrastrukturen das Gebot der Stunde, IT-Sicherheit zu einer strategischen Priorität zu machen“, fordert Lin.

Weitere Informationen zum Thema:

TÜV SÜD, 08.03.206
TÜV SÜD veröffentlicht Whitepaper zum Thema IT-Sicherheit