DSGVO, KRITIS und Cybercrime – Informationssicherheit ist Chefsache

bei

 / 13. Oktober. 2017

Informationssicherheit ist einer der wichtigsten Erfolgsfaktoren der Digitalisierung: IT-Infrastrukturen bilden das Rückgrat der digitalen Transformation, Daten sind für Unternehmen der Grundstoff neuer Geschäftsmodelle. Nur wenn gewährleistet ist, dass Infrastrukturen und Daten vor Missbrauch, Angriffen und Diebstahl geschützt sind, werden neue Geschäftsmodelle funktionieren.

Mit Informationssicherheit allein lässt sich kein Geld verdienen – es sei denn, man ist Anbieter von Sicherheitstechnologien. So lautet ein häufiger Einwand. Mag sein: Informationssicherheit muss aber als conditio sine qua non die Grundlage aller digitalen Projekte sein.

DSGVO und KRITIS

Die Gesetzgeber auf nationaler und europäischer Ebene haben das verstanden und mit der EU-Datenschutz-Grundverordnung (DSGVO) sowie dem seit 2015 gültigen IT-Sicherheitsgesetz wichtige Grundlagen für den Schutz von Daten und Infrastrukturen geschaffen. Die DSGVO regelt grenzüberschreitend vor allem den Schutz personenbezogener Daten, während das IT-Sicherheitsgesetz dazu dient, mehr Sicherheit für informationstechnische Systeme zu erreichen, speziell für Unternehmen der so genannten „Kritischen Infrastrukturen“ (KRITIS – Unternehmen aus Branchen wie Energie, Ernährung, Finanzen, Gesundheit, Informationstechnik und Telekommunikation, Medien und Kultur, Transport und Verkehr und Wasser, sofern sie für das Funktionieren von Infrastrukturen und die Versorgung der Bevölkerung unverzichtbar sind.).

Ein zentraler Auftrag an alle betroffenen Unternehmen ist die Einführung eines Information Security Management Systems (ISMS). Das ISMS umfasst dabei nicht nur die „klassische“ IT des Unternehmens, sondern fokussiert speziell auf den Teil der Operational-Technology-Netzwerke (OT-Netzwerke). Hierzu zählen beispielsweise die vernetzten Steuer- und Leitsysteme im Energie- und Transportwesen (Umspannwerke, Sortieranlagen etc.) sowie die gesamte vernetzte Medizintechnik in Krankenhäusern. Damit rücken Systeme in den Fokus, die bislang oft weniger der IT, sondern den Ingenieur- und Fachabteilungen zugeordnet waren.
Die erste Rechtsverordnung vom Mai 2016 betrifft die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation sowie Ernährung und Wasser. Die zweite Rechtsverordnung betrifft die übrigen KRITIS-Sektoren Finanzen, Transport und Verkehr sowie Gesundheit. Sie wurde am 29. Juni 2017 veröffentlicht. Für die DSGVO gilt noch bis zum 25. Mai 2018 eine Übergangsfrist. Erst dann treten die neuen Regelungen ausnahmslos in Kraft.

Dass die Gesetzgeber DSGVO und IT-Sicherheitsgesetz ernst meinen, lässt sich nicht zuletzt am Strafenkatalog bei Verstößen ablesen: Im Fall der EU-Verordnung können die Strafen bis zu bis zu 300.000 Euro im Einzelfall und in der Summe bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr betragen. Bei Verstößen gegen die Vorschriften des IT-Sicherheitsgesetzes drohen den Betreibern kritischer Infrastrukturen Bußgelder bis zu 100.000 Euro.
Über die Strenge der Sanktionen lässt sich durchaus streiten. Die Höhe des Bußgeldes und die finanziellen Folgen beim Ausfall kritischer Infrastrukturen stehen oft in keinem vernünftigen Verhältnis, sagen Kritiker. Dennoch sind die neuen Sicherheitsgesetze inhaltlich wichtig und richtig: Die DSGVO ist gesetzlich verankerter Verbraucherschutz. Die Vorschrift schafft damit eine der unverzichtbaren Grundlagen digitaler Geschäftsmodelle auf Basis von Daten. Und KRITIS schützt das wichtigste Kapital der digitalen Transformation, das in den digitalen Infrastrukturen gesellschaftlich unverzichtbarer Branchen liegt und vor Diebstahl und Sabotage geschützt werden muss.

Social Engineering und Cybercrime

Die Gesetzgeber auf europäischer und nationaler Ebene haben ihren Job erledigt, jetzt sind die Unternehmen gefragt, ihrerseits die geeigneten Maßnahmen für den Schutz von Infrastrukturen und Daten zu ergreifen.

Einer der größten Schwachpunkte für Cyberangriffe in Unternehmen sind nach wie vor die eigenen Mitarbeiter. Angriffe finden oft über das private Umfeld von Mitarbeitern mit dem Ziel statt, Zugang zu geschützten Infrastrukturen und sensiblen Daten zu bekommen (oft über „Social Engineering“). Folgerichtig müssen wirksame Maßnahmen auch hier ansetzen. Dazu kommen Sicherheitsmechanismen, die flexibel in der Lage sind, auf sich ständig verändernde Bedrohungsszenarien reagieren zu können.

Mobiles Arbeiten muss geschütztes Arbeiten sein

Zu den schützenswerten Gütern in den Unternehmen gehört auch das mobile Arbeiten, das eine hohe Flexibilität mit sich bringt, von der Mitarbeiter und Unternehmen gleichermaßen profitieren. Aber private Endgeräte für berufliche Zwecke zu verwenden, ist nicht ohne Risiko: Geräte können entwendet werden oder verloren gehen, Daten und Datenzugänge so Dritten offenstehen. Allerdings besitzen einer Studie von Sopra Steria Consulting von Anfang 2017 zufolge immer noch vier von zehn Unternehmen keine Mobilgeräteverwaltung. Das heißt also, dass in diesen Unternehmen Sicherheits-Updates und -einstellungen nicht zentral durchführt werden. Zudem fehlen einem Drittel der Firmen übergreifende Sicherheitsrichtlinien für das mobile Arbeiten und den Gebrauch mobiler Endgeräte. Diese Unternehmen überlassen die Absicherung privater Geräte weitgehend den Anwendern. Da diese nicht notwendigerweise verlässlich Sicherheits-Updates durchführen oder Unternehmensdaten von privaten Daten separieren, droht der Verlust sensibler geschäftlicher Informationen, der den aktuellen Sicherheitsgesetzen zufolge mit den oben genannten Sanktionen verbunden sein kann und – schlimmer – die mit der Digitalisierung verbundenen Geschäftsziele und -modelle ad absurdum führt.

Sicherheit ist strategische Unternehmensaufgabe

IT-, Geräte- und Datensicherheit zu gewährleisten und damit die gesetzlichen Bestimmungen einzuhalten, ist kein trivialer Job, der sich mit wenigen technischen Handgriffen erledigen lässt. Es ist vielmehr in der digitalen Transformation eine strategisch wichtige Unternehmensaufgabe, die vom Top-Management getragen sein muss und von qualifizierten Fachkräften ausgeübt wird.

Es sind zuerst die Führungskräfte eines Unternehmens, die Verantwortung für das Risikomanagement und für Notfallpläne tragen. Sie müssen sich wiederum auf den Rat ihrer Fachleute im Unternehmen verlassen können, um Fehlinvestitionen und – angesichts der neuen Bestimmungen – vor allem teures Fehlverhalten zu vermeiden. Dabei sind realistische Einschätzungen wichtig, frei von Befindlichkeiten und Gewohnheiten: Die größte Gefahr für die Sicherheit von Daten sind aus meiner Sicht Selbstzufriedenheit und Selbstüberschätzung in Sachen IT- und Cyber-Security.

Es gibt diverse Studien, die aber genau das belegen: Gerade Geschäftsführer scheinen oft die Sicherheit ihres Unternehmens durch eine Art rosa Brille zu sehen und glauben, sie seien besser gegen interne Sicherheitsverstöße und externe Angriffe gerüstet, als sie es tatsächlich sind oder wähnen sich als nicht attraktiv für einen Angreifer. Da wundert es nicht, dass in vielen Unternehmen eine breite Lücke zwischen der realen Widerstandsfähigkeit und einer Bedrohungslage klafft, die immer ernster wird.

Awareness für Sicherheit schaffen, die die oberste Führungsebene der Unternehmen nicht ausnimmt, ist hier eine wichtige Aufgabe. Dazu gehören aber auch gezielte Investitionen in intelligente Bedrohungserkennung, prädiktive Datenanalysen und Lösungen für die Früherkennung von Angriffen. 100-prozentige Sicherheit bietet bekanntermaßen keiner dieser Ansätze, aber sie tragen ganz wesentlich zu einer signifikanten Verringerung des Schadensrisikos und der Folgen gravierender Sicherheitsvorfälle bei.

Digitalisierung ist Herausforderung und Lösung in einem

Die zunehmende Digitalisierung bringt nicht nur immer neue Bedrohungsszenarien hervor, sie liefert zugleich auch einen großen Teil der Antwort. Künstliche Intelligenz ist über Mustererkennung in großen Datenmengen in der Lage, untypische Abweichungen und damit potenzielle Angriffe von außen zu erkennen und zunehmend automatisch abzuwehren. Mobile Device Management und Unternehmensrichtlinien für mobiles Arbeiten können Datenklau und -verlust nicht gänzlich verhindern, aber typische Einfallstore für Eindringlinge schließen. Schließlich ist die Digitalisierung auch das Mittel der Wahl, um flexibel auf wechselnde und neue Angriffsszenarien reagieren zu können.

Ziel der Unternehmen muss ein maximal digitalisiertes und dynamisches IT-Sicherheitsmanagement sein, das einer Institution jederzeit eine angemessene Cyber-Security garantiert. Das ist am Ende eine technische Aufgabe der Unternehmens-IT, wird aber ohne die Unterstützung des Top-Managements nicht funktionieren.

Dr. Gerald Spiegel erklärt in einem Artikel, warum Informationssicherheit Chefsache ist.

Der Autor: Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting. Er ist Experte für IT- und Informationssicherheit sowie die Abwehr von Cybercrime-Attacken. Über diese Themen schreibt er auch im Blog Digitale Exzellenz. Sein Spezialgebiet: Security Information and Event Management (SIEM).

Vorheriger ArtikelBYOD: Container sichern personenbezogene Daten auf mobilen Endgeräten
Nächster ArtikelSichere Häppchen