Aktuelles, Branche - geschrieben von dp am Sonntag, Mai 2, 2021 16:06 - noch keine Kommentare
IT-Sicherheitsgesetz 2.0: Nutzen bei Experten umstritten
Rainer M. Richter kritisiert Bitkom-Stellungnahme und warnt, dass neun von zehn IoT-Geräten Sicherheitslücken haben
[datensicherheit.de, 02.05.2021] Der Digitalverband Bitkom e.V. hat das neue, im April 2021 verabschiedete IT-Sicherheitsgesetz 2.0 der deutschen Bundesregierung kritisiert und sieht nach eigenen Angeben einen „fragwürdigem Mehrwert für die IT-Sicherheit“. In seiner Stellungnahme hält Rainer M. Richter, Geschäftsführer von IoT Inspector, dagegen: Dieses Gesetz sei lange überfällig und inkludiere endlich alle in IT-Netzwerken verwendeten Geräte.
IT-Sicherheitsgesetz 2.0 nimmt laut Bitkom Kollateralschäden in Kauf
In der Meldung „IT-Sicherheitsgesetz 2.0 nimmt Kollateralschäden in Kauf“ kritisiert der Bitkom: „Das IT-Sicherheitsgesetz 2.0 schafft eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit. Rechts-, Planungs- und Investitionsunsicherheiten werden als Kollateralschäden in Kauf genommen, vor allem mit Blick auf den 5G-Netzausbau. Das wird der Zukunftsfähigkeit des Standorts schaden.“
Diese Position kann Richter nach eigenen Angaben nicht teilen: „Das Gesetz ist lange überfällig und inkludiert endlich alle Geräte, die in IT-Netzwerken verwendet werden – also auch die Millionen von IoT-Devices.“ Das jüngste Beispiel in den USA – dort seien Produkte von fünf bekannten Unternehmen und OEM-Herstellern aus Sicherheitsgründen ausdrücklich für den Einsatz in Behörden verboten worden – zeige, „wie wichtig eine Regulierung für solche Geräte ist“. Sein Team habe eine Unternehmenslösung entwickelt, die in wenigen Minuten sämtliche Schwachstellen in der Firmware eines IoT-Devices aufdecken könne. Für Hacker seien die smarten Helfer – vom Staubsaugerroboter über Router, von der Lichtsteueranlage bis zum Schließsystem oder Sicherheitskameras mit IP-Anschluss – ein Trojanisches Pferd, mit welchem ein Eindringen in gesicherte Netzwerke ohne weiteres möglich sei.
IoT Inspector betont dringende Bedeutung des IT-Sicherheitsgesetzes 2.0
Ebenfalls eine Sicherheitslücke in der Firmware eines Netzwerkgerätes des Herstellers Citrix hätten Hacker bei dem Angriff auf die Uniklinik Düsseldorf im September 2020 ausgenutzt. Es habe einen ganzen Monat gedauert, bis das Krankenhaus wieder seinen Regelbetrieb habe aufnehmen könnee. Richter kommentiert:
„Wer dann noch behauptet, dass eine gesetzliche Regulierung hier einen fragwürdigen Mehrwert bietet, hat offensichtlich die Zeichen der Zeit nicht erkannt, oder ist sich des enormen Risikos nicht bewusst.” Sein Unternehmen analysiere zu Recherchezwecken immer wieder IoT-Geräte aller Art und decke so regelmäßig Schwachstellen auf, welche von Hackern innerhalb kürzester Zeit in großem Stil missbraucht werden könnten.
IT-Sicherheitsgesetz 2.0 verpflichtet zur Absicherung Kritischer Infrastrukturen
Betreiber Kritischer Infrastrukturen (Kritis) seien ab dem 1. Januar 2022 verpflichtet, Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Die gelte für bundesweit rund 90 Kliniken, welche mehr als 30.000 vollstationäre Patienten pro Jahr versorgten.
Die sogenannten Whitehat-Hacker von IoT Inspector begrüßten daher die neue Position des BSI: „Dieser Schritt ist richtig und konsequent, denn die Bedrohungslage durch Cyber-Kriminalität in Deutschland bleibt auf einem angespannt hohen Niveau“, habe auch Arne Schönbohm, Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik), gewarnt.
BSI könnte auf Basis des IT-Sicherheitsgesetzes 2.0 Verbote aussprechen
In den USA für den Einsatz in Behörden und öffentlichen Netzen verboten, in den Niederlanden versehen mit gefährlichen Administratorrechten im Netz des Providers KPN und damit unter Spionageverdacht: Der chinesische Hersteller Huawei habe auch in Deutschland Komponenten für den Ausbau des mobilen 5G-Netzes bereitstellen sollen. Sofern das BSI auf der Basis des neuen IT-Sicherheitsgesetzes ein Verbot ausspricht, wäre dieses Risiko eliminiert, so Richter.
„Es muss klar werden, dass nicht nur Computer, Rechenzentren und Server ein Risiko sind, sondern jedes Device mit einem drahtgebundenen oder drahtlosen Netzwerkzugang. Jede Schwachstelle darin ist ein potentielles Einfallstor für Cyber-Kriminelle – neun von zehn IoT-Geräten haben nach unseren Stichproben Sicherheitslücken. Das muss dringend geändert werden“, fordert der Geschäftsführer von IoT Inspector.
Weitere Informationen zum Thema:
Süddeutsche Zeitung, 23.04.2021
Bundestag verabschiedet verschärftes IT-Sicherheitsgesetz
datensicherheit.de, 26.02.2021
IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen / Vertrauen in digitale Kommunikation darf nicht verspielt werden, fordert der Verband der Internetwirtschaft (eco)
Aktuelles, Experten, Studien - Juli 9, 2025 7:14 - noch keine Kommentare
Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
weitere Beiträge in Experten
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
- VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit
- NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
- NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter
- Quantentechnologie: EU strebt Vorreiterrolle an
Aktuelles, Branche, Studien - Juli 10, 2025 0:43 - noch keine Kommentare
KI droht zur größten Cyberbedrohung zu werden
weitere Beiträge in Branche
- Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen
- Der Fluch der ständigen Verfügbarkeit im Urlaub
- Förderung sicherer Identitäten in AWS-Cloud: BeyondTrust schließt strategische Kooperationsvereinbarung
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren