[datensicherheit.de, 15.04.2021] Der Bundesverband IT-Sicherheit (TeleTrusT) lädt ein: Am 24. September 2021 soll in Berlin der jährliche „IT-Sicherheitsrechtstag“ stattfinden, um die aktuelle Rechtslage bzw. Rechtsetzungsinitiativen vorzustellen und zu erörtern. Im Fokus 2021 stehe die praktische Umsetzung des IT-Sicherheitsgesetzes 2.0.

Abbildung: TeleTrusT

Einladung zum 6. IT-Sicherheitsrechtstag am 24.09.2021 (kostenpflichtig)

ITSIG 2.0 wirft bereits jetzt Reihe von Fragen politischer, rechtlicher und technischer Art auf

Das IT-Sicherheitsgesetz 2.0 (ITSiG) werfe bereits jetzt eine Reihe von Fragen politischer, rechtlicher und technischer Art auf, welche nach Kommentierung riefen. Der Rechtsmaterie entsprechend müsse die Analyse interdisziplinär, das heißt aus rechtlichem, politischem und technischem Blickwinkel erfolgen. Dieser Interdisziplinarität sei der Bundesverband IT-Sicherheit verpflichtet.
„Nicht nur Betreiber Kritischer Infrastrukturen, sondern auch Zulieferer werden vom IT-Sicherheitsgesetz 2.0 vor neue Anforderungen gestellt. Die Änderungen sind wesentlich – und ihre Umsetzung sollte rechtzeitig angegangen werden“, betont Rechtsanwalt Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“.

6. IT-Sicherheitsrechtstag befasst sich mit Regulierung aus rechtlicher, aufsichtsrechtlicher und praktischer Sicht

Beim „6. IT-Sicherheitsrechtstag“ werde man sich deshalb mit der Regulierung aus rechtlicher, aufsichtsrechtlicher und praktischer Sicht befassen. Bartels: „Wir diskutieren hier sehr offen die Fragen und Erfahrungen aus der Umsetzungs-, Beratungs- und auch Prüfungspraxis.“
Die Veranstaltung sei praxisnah angelegt, um jedem Interessenten die Möglichkeit zu geben, sich über die aktuelle Gesetzeslage zu informieren, die Möglichkeiten der rechtskonformen Umsetzung kennenzulernen und dabei wertvolle Kontakte zu knüpfen. „Daher richtet sich die Veranstaltung an Interessierte aus Unternehmen und öffentlichen Einrichtungen und Behörden jeder Größe.“

Vorträge auf dem IT-Sicherheitsrechtstag 2021 (ohne Gewähr):

Die Moderation übernimmt Dr. Jana Moser, Akarion.

• „Allgemeine Einführung: IT-Sicherheitsgesetz 2.0“ – RAin Mareike Gehrmann, Taylor Wessing
• „Das IT-Sicherheitsgesetz aus aufsichtsbehördlicher Sicht / Prüfschwerpunkte für KRITIS“ – Isabel Münch, BSI
• „Rechtliche Herausforderungen des ITSiG 2.0 für Technologielieferanten“ – RA Karsten U. Bartels, LL.M., HK2 RAe
• „Praktische Herausforderungen des ITSiG 2.0 für Technologielieferanten“ – Armin Lehmann / Björn Huber-Puls, secunet
• „Das ITSiG 2.0 in der Anwendungspraxis am Beispiel eines Unternehmens der Automatisierungstechnik“ – Wolfgang Straßer, @-yet
• „Erfüllung von KRITIS-Anforderungen in der Praxis – Herausforderungen und ‚Lessons Learned‘ am Beispiel Lieferantenmanagement für die Verkehrssteuerungs-Infrastruktur“ – Volker Witt / Dr. Philipp Gerlach, Hamburg Verkehrsanlagen:

Weitere Informationen zum Thema:

datensicherheit.de, 26.02.2021
IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen

TeleTrusT
IT-Sicherheitsrechtstag 2021 / „IT-Sicherheitsgesetz 2.0“

[datensicherheit.de, 07.04.2016] Das IT-Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) wurde am 12. Juni 2015 vom Bundestag mach über zweijähriger Diskussion verabschiedet, am 10. Juli 2015 passierte es auch anstandslos den Bundesrat. Grundlage dieses Gesetzestextes ist die Entwurfsfassung vom Februar 2015 inklusive der vom Innenausschuss empfohlenen Änderungen. Mit „kritischen Infrastrukturen“ sind vor allem solche gemeint, die dafür sorgen, dass ein Gemeinwesen funktioniert – also Energieversorger, Betreiber von Krankenhäusern, Banken und Versicherungen, Transport- und Logistikfirmen, aber auch IT- und Telekommunikationsunternehmen.

Höheres Sicherheitsniveau angestrebt

Die branchenübergreifenden Regeln sollen nach einer aktuellen Stellungnahme von David Lin, Varonis, nicht nur für ein einheitliches, sondern vor allem für ein besseres Sicherheitsniveau sorgen.
Dazu existierten schon eine ganze Reihe von Rahmenwerken wie die ISO-Normenreihe, die IT-Grundschutzkataloge des BSI und Empfehlungen wie die der US-amerikanischen NIST. Welche technischen Maßnahmen konkret zu ergreifen sind, um eine kritische Infrastruktur zu schützen, habe der Gesetzgeber allerdings offen gelassen, erläutert Lin.
Ein neues „Whitepaper“ des TÜV Süd befasse sich unter anderem mit diesem Thema. Nicht ohne insbesondere darauf hinzuweisen, dass trotz der einschneidenden Datenschutzvorfälle zahlreiche Unternehmen und Organisationen auf zukünftige Herausforderungen gleich in zweierlei Hinsicht nicht ausreichend vorbereitet seien. Zum einen sei vielfach nicht bekannt, wie hoch der bereits existierende Level von Richtlinien und Regularien sei und mit welchen Folgen Unternehmen rechnen müssten, die sie nicht einhalten. Zum anderen werde vielerorts unterschätzt, dass nur ein holistischer IT-Sicherheitsansatz in der Lage sei, auf die aktuelle und zukünftige Bedrohungslandschaft zu reagieren.
Eine Studie von PriceWaterhouseCoopers habe bereits 2014 ermittelt, dass die Zahl der gemeldeten Sicherheitsverstöße um 43 Prozent auf beinahe 43 Millionen angestiegen sei. Dies entspreche einer durchschnittlichen Zahl von 117.000 Cyberattacken an einem einzigen Tag. Lin: „Und diese Zahlen sind umso erschreckender, wenn man davon ausgehen kann, dass laut PwC etwa 71 Prozent solcher Attacken ohnehin unbemerkt bleiben.“

Auch KMU im Visier

Die Verschärfungen der Richtlinien und Anforderungen gerade für den Finanzsektor, die Informationstechnologie selbst, das Gesundheitswesen, die Telekommunikation, die Energieversorger, aber auch für Logistikunternehmen, die Luftfahrt und das Militär könnten aber nicht darüber hinwegtäuschen, dass jedes Unternehmen einem hohen Risiko ausgesetzt sei und ganz im Gegensatz zu frühen Einschätzungen gerade auch kleine und mittelständische Unternehmen, warnt Lin.
Neben dem rein finanziellen Schaden hätten die Geschädigten aber noch mit einer ganzen Reihe weiterer Folgen zu kämpfen – dies seien der nicht zu unterschätzende Schaden eines möglicherweise ramponierten Rufs bei Kunden und Dienstleistern, der Verlust von vertraulichen und geschäftskritischen Informationen, und bei den KRITIS kämen die physischen Schäden noch dazu.

Risiken senken und Folgen potenzieller Schäden mildern

Hundertprozentige Sicherheit könne und werde es nicht mehr geben, davon gehe auch der TÜV Süd in seinem aktuellen „Whitepaper“ aus. Allerdings könne ein umfassender und kombinierter Ansatz die Risiken senken und die Folgen potenzieller Datenschutzverstöße mildern. „Die Experten schlagen dazu eine Kombination aus präventiven und reaktiven Methoden vor, die an ein Rahmenwerk für die IT-Sicherheit gekoppelt sind“, erläutert Lin.

Sicherheitsstandards auch übertragbar

Die Mehrzahl der existierenden Verordnungen und Standards seien sowohl auf die KRITIS als auch auf alle anderen Industriezweige anwendbar. Trotzdem sei unbestritten, dass Behörden, Regierungsinstitutionen, die Finanz- und Gesundheitsbranche stärker reguliert seien als andere, einfach deswegen, weil man von einem proportional stärker steigenden Risiko gegenüber anderen Branchen ausgehen könne. Lin: „Und die Konsequenzen potenzieller Datenschutzverstöße durch erfolgreiche Cyberattacken werden hier als ungleich weitreichender eingeschätzt.“

Schwachstellen erkennen

Verschiedene Faktoren begünstigen laut Lin, dass Schwachstellen entstehen oder bestehende einfacher – und mit einem höheren Schadenspotenzial – ausgenutzt werden. Nicht zuletzt nennt Lin den Menschen „als schwächstes Glied in der Kette“. Sei es, dass ein Insider selbst zum Täter werde – und dafür gebe es eine Reihe von Motiven – sei es, dass die Anmeldeinformationen eines mit den entsprechenden Zugriffsrechten ausgestatteten Mitarbeiters in die Hände Dritter gelangt seien und sich diese dann im Netzwerk bewegten wie ein ganz normaler Angestellter.

Empfehlungen des TÜV Süd

Für die Experten des TÜV Süd sei es offensichtlich, dass Unternehmen sich mit dem Gedanken anfreunden sollten, ein IT-Sicherheits-Framework in ihrem Betrieb zu etablieren – und zwar nicht nur in einzelnen Bereichen, sondern grundsätzlich.
Für die erfolgreiche Umsetzung solle man sich der Zustimmung des Managements versichern, IT-Sicherheitsmaßnahmen direkt an geschäftliche Anforderungen und Prozesse ankoppeln, ein komplettes IT-Sicherheitsmanagement-System implementieren, Chancen und Risiken neuer Technologien evaluieren, bevor sie im Unternehmen tatsächlich eingesetzt werden, bewusstseinsbildende Maßnahmen in allen Bereichen des Unternehmens vorantreiben sowie bewährte Konzepte und Standards nutzen.
„Angesichts der sich weiter rasant verändernden Bedrohungslandschaft ist es nicht nur für kritische Infrastrukturen das Gebot der Stunde, IT-Sicherheit zu einer strategischen Priorität zu machen“, fordert Lin.

Weitere Informationen zum Thema:

TÜV SÜD, 08.03.206
TÜV SÜD veröffentlicht Whitepaper zum Thema IT-Sicherheit

[datensicherheit.de, 20.10.2015] Hacker und Kriminelle spähen Unternehmenssysteme aus, um Kundendaten und sensible Unternehmensinformationen zu stehlen. Gerade Cloud- und Mobiltechnologien wirken wie eine Einladung zum Datenklau. Doch im Mittelstand zögern immer noch viele, in Datensicherheit zu investieren.

IT-Sicherheitsgesetz seit Juli 2015 in Kraft

Ändern könnte sich dies durch das IT-Sicherheitsgesetz, das am 25. Juli 2015 in Kraft getreten ist. Es ist eines der weltweit ersten Sicherheitsgesetze dieser Art und wird von vielen Fachleuten als Schritt in die richtige Richtung gesehen. Der Mittelstand ist allerdings verunsichert. Ist dieses Gesetz nicht vorrangig für die großen Provider gemacht, damit sie ihre großen Infrastruktur-Systeme besser schützen? Doch dies ist nur ein Aspekt der Gesetzgebung.
IT-Recht und Datenschutz sind gerade für Mittelständler wichtige Themen, Geschäftsführer und Firmeninhaber finden hier Informationen und Unterstützung. Das neue Sicherheitsgesetz gilt für Unternehmen mit mehr als zehn Mitarbeitern – nicht nur für die Branchenriesen. Auch kleine und mittlere Unternehmen (KMU) sind zu IT-Compliance verpflichtet. Zu den Aufgaben der Geschäftsführung gehört grundsätzlich, eine angemessene IT-Sicherheit herzustellen und zu wahren, und die Maßnahmen regelmäßig zu überprüfen.
Das IT-Sicherheitsgesetz sieht je nach Unternehmensbranche unterschiedliche Pflichten vor. Die sogenannten Kritischen Infrastrukturen (Kritis), die für das Funktionieren der Gesellschaft notwendig sind, müssen ein Mindestniveau an Sicherheit gewährleisten. Entsprechende Firmen und Institutionen sind verpflichtet, Vorfälle zu melden, die die IT-Sicherheit betreffen. Zu den Kritis gehörten Großunternehmen aus dem Energiesektor, Banken, Transportunternehmen, Gesundheitsinstitutionen und andere mehr – insgesamt etwa 2.000 Unternehmen. Sie sind in ständigem Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und bauen spezifische Abwehrsysteme auf.

KMU und IT-Compliance

Unternehmen mit Web-Angeboten müssen ebenfalls besondere Pflichten erfüllen, die den Schutz der Kundendaten und der von den Kunden genutzten Systeme betreffen. Für diese Unternehmen – auch die kleineren und mittleren Unternehmen – gelten die Vorschriften zur IT-Compliance. Sie benötigen beispielsweise einen IT-Sicherheitsbeauftragten. Das Ziel: Unternehmensdaten zu schützen und ein verlässliches Sicherheitskonzept zu entwickeln – aus Firmensicht zu möglichst niedrigen Kosten.
Vielen Details des IT-Sicherheitsgesetzes sind allerdings noch nicht konkretisiert – beispielsweise fehlt noch eine Rechtsverordnung, welche die Meldepflicht für Kritis genau beschreibt. Auch Verbände und mittelständische Unternehmen sehen Klärungsbedarf. So sagt etwa der Präsident des Bundesverbandes IT-Mittelstand, Dr. Oliver Grün: „Durch unbestimmte Rechtsbegriffe droht eine Klagewelle, die den Mittelstand deutlich härter treffen wird als große Konzerne mit eigenen Rechtsabteilungen.“