Das Ende Juli verabschiedete ­IT-Sicherheitsgesetz betrifft über kurz oder lang auch Unternehmen der nicht-kritischen Infrastruk­turen.

Das Ende Juli verabschiedete ­IT-Sicherheitsgesetz betrifft über kurz oder lang auch Unternehmen der nicht-kritischen Infrastruk­turen.Fotohanse – Fotolia.com

IT-Angriffe auf Infrastrukturen, die unsere Grundversorgung gewährleisten, sind eine besondere Bedrohung für unser Gemeinwesen. Zu deren Schutz vor Cyber-Angriffen wurden die gesetzlichen Anforderungen im neuen IT-Sicherheits­gesetz festgeschrieben. Die Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung ­sowie Finanz- und Versicherungswesen müssen deshalb künftig einen Mindeststandard an IT-Sicherheit einhalten ‒ und die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre nachweisen. ­Zudem müssen Unternehmen erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Das IT-Sicherheitsgesetz strahlt auf sieben unterschiedliche Gesetzesbereiche aus. Somit erhält das BSI mehr Befugnisse und kann auch Länder-übergreifend agieren. Das IT-SiG (IT-Sicherheitsgesetz) gibt Sanktionen vor. Grundsätzlich ist das nichts Neues. Bereits heute sind in anderen Gesetzen (KontraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ebenfalls Haftungen verbindlich geregelt. Daher darf davon ausgegangen werden, dass Kritis-Unternehmen ihre Zulieferer in die Pflicht nehmen. In Summe steigt deshalb die Relevanz des IT-Sicherheitsgesetzes auch für Unternehmen in unkritischen Branchen.

Besonders mobile Geräte und Datenträger sind schwer zu kontrollieren.

Besonders mobile Geräte und Datenträger sind schwer zu kontrollieren.Videc

Die Einhaltung von IT-Sicherheitsmaßnahmen in der Produktion wird für die betroffenen Unternehmen verpflichtend. Dazu gehören zum Beispiel eine aktuelle IT-Dokumentation, die kontinuierliche Überwachung, Viren- und Internetschutz, Datensicherungen, Passwortmanagement sowie Richtlinien zum Umgang mit exter­nen Dienstleistern.

Der Fokus des Gesetzes liegt auf der Prävention vor und der Erkennung von Cyber-­Angriffen. Die Anforderung für die Unternehmen besteht darin, diese Maßnahmen wirksam im Betriebsablauf zu etablieren. Das Gesetz stellt Anforderungen in den Bereichen:

Auch in segmentierten Netztwerken liefert die Security-­Lösung Irma eine kontinuierliche Überwachung, Analyse und Alarmierung bei Anomalien von Assets und Verbindungen.

Auch in segmentierten Netztwerken liefert die Security-­Lösung Irma eine kontinuierliche Überwachung, Analyse und Alarmierung bei Anomalien von Assets und Verbindungen.Videc

  • Information Security Management (Sicherheitsorganisation, IT-Risikomanagement)
  • Kritische Cyber-Assets werden identifiziert und gemanagt
  • Maßnahmen zur Angriffsprävention und -erkennung
  • Implementierung eines Business Continuity Managements (BCM)

Der Nachweis der Umsetzung dieser Vorgaben erfolgt auf Basis von Sicherheitsaudits, Prüfungen oder Zertifizierungen. Unternehmen müssen etwa ihr IT-Risikomanagement belegen können, ebenso ihre kritischen Cyber-Assets identifizieren und deren Schutz nachweisen.

Maßnahmen zur Angriffsprävention und -erkennnung lassen sich mit Tools wie ­Irma (Industrie Risiko Management Auto­matisierung) umsetzen. Das abgeschottete System, bestehend aus Hard- und Software, ist für potenzielle Angreifer wie auch für eingeschleuste Schad-Software unsichtbar. Es erfasst und analysiert als passiver Teilnehmer jegliche Aktivitäten und Verbindungen im Netzwerk einer Produktionsanlage. Das permanente Scannen ermöglicht das Erkennen jeder Verbindung und jedes Teilnehmers. Gleichzeitig entsteht eine Landkarte der IT-Netzwerke mit Informationen über die Netzsegmentierung und Trennung mit Firewalls. Dies bildet die Grundlage für das Risikomanagement inklusive Reporting über den Zustand der gesamten Anlage gemäß ISO 27000/BSI.

Die Kernfunktionen der Security-Lösung Irma (Industrie Risiko Management Automatisierung) erleichtern die Umsetzung des IT-Sicherheitsgesetzes.

Die Kernfunktionen der Security-Lösung Irma (Industrie Risiko Management Automatisierung) erleichtern die Umsetzung des IT-Sicherheitsgesetzes.
Videc

Durch die kontinuierliche Überwachung, Analyse und eine intelligente Alarmierung bietet Irma in Echtzeit Informationen zu ungünstigen Konfigurationen oder Cyber-Angriffen. Das integrierte Risikomanagement ermöglicht es, umgehend über die wirtschaftlich sinnvollen Maßnahmen zu entscheiden, um einen Angriff zu stoppen oder dessen Auswirkungen einzudämmen.