Mit dem IT-Sicherheitsgesetz hat der Gesetzgeber auf die Tatsache reagiert, dass Digitalisierung zwar unzählige Vorteile mit sich bringt, die zunehmende Vernetzung jedoch auch für Risiken sorgt. In diesem Zusammenhang macht das Gesetz den betroffenen Organisationen Auflagen, wie sie sich gegen Cyberattacken schützen und Ausfallsicherheit gewährleisten sollen. Hier geht es vor allem um Unternehmen, deren Ausfall einen erheblichen Einfluss auf die Abläufe in Politik, Wirtschaft und Gesellschaft hätten. Wie bei vielen Gesetzen ließen die Formulierungen zur Umsetzung jedoch teilweise mehr Fragen offen als sie beantworteten.
Licht ins Dunkel bringen
Immerhin ist mittlerweile bekannt, dass es sich bei den von KRITIS betroffenen Bereichen um die Sektoren Energie (Elektrizität, Gas, Öl, alternative Energien), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Medien und Kultur, Wasser (Wasserversorgung und Abwasserentsorgung), Ernährung, Finanz- und Versicherungswesen sowie Staat und Verwaltung handelt.
Jedoch ist dies nicht die einzige Frage, die sich den für KRITIS Verantwortlichen stellt. So wird, wie in vielen Gesetzen üblich, bei der Erfüllung der Vorgaben vom “allgemeinen Stand der Technik” gesprochen. Diese Formulierung ist auf der einen Seite nicht eindeutig, auf der anderen Seite jedoch von den Betroffenen nicht zu unterschätzen.
Denn sie beschreibt einen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der es ermöglicht, die gesetzlichen Vorgaben in der Praxis zu erfüllen. Oder juristisch gesprochen: “Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.”
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Wer sich dies einmal auf der Zunge zergehen lässt, der erkennt, dass die Anforderungen an IT-Sicherheit und Ausfallsicherheit von Infrastrukturen grundsätzlich hoch angelegt werden. Bleibt trotzdem immer noch die Frage zu klären, wie der allgemeine Stand der Technik für den Einzelfall erreicht und letztlich auch dokumentiert nachgewiesen werden kann. Auch das BSI gibt zu diesem Sachverhalt wenig Auskünfte.
Was der Wahrheitsfindung dient
Um sich dem Thema KRITIS zu nähern, sollten folgende Fragen beantwortet werden: • Sind Sie laut Gesetz ein Betreiber Kritischer Infrastrukturen oder haben Sie aus anderen Gründen Verpflichtungen durch das IT-Sicherheitsgesetz? • Wurde in Ihrer Organisation bereits ein verantwortlicher Ansprechpartner für die IT-Sicherheit und Ausfallsicherheit benannt? • Wurde bei Ihnen bereits ein Informationssicherheits-Management-System installiert? • Welche Ihrer IT-Systeme werden als “kritisch” für die Erbringung Ihrer Dienstleistung eingestuft? • Haben Sie realistische Möglichkeiten, diese kritischen Systeme nach allgemeinem Stand der Technik besonders abzusichern? Realistisch bleiben, Partner einbinden
Vor allem die ehrliche Beantwortung der letzten Frage muss bei einem Großteil der Mittelständler und kleinen Unternehmen die Erkenntnis hinterlassen, dass es nicht zielführend sein kann, diese Herausforderung ohne die Einbindung von Partnern anzugehen. Wir sprechen davon, dass der Anspruch an den IT-Betrieb im Hinblick auf beispielsweise redundante Stromversorgung, Kühlung, Zugangsberechtigungen sowie Backup-Strategien und Disaster Recovery-Konzepte mit einem Federstrich des Gesetzgebers exorbitant gestiegen ist.
Gehörte der IT-Betrieb bei vielen Unternehmen ohnehin nie zum Kerngeschäft und wurde bis dato aus Tradition oder Lethargie immer noch mitverantwortet, so ist jetzt die Zeit für den Exit endgültig gekommen. Full IT Service Provider wie DARZ verfügen nicht nur über die Infrastruktur und Technologie, um die Vorgaben von KRITIS für den Nutzer mühelos zu erfüllen. Hinzu kommen noch Zertifizierungen nach ISO 27001, die als Goldstandard für diesen Bereich mehr oder weniger unmittelbar Gesetzeskonformität erzeugen.
Darüber hinaus können sich KRITIS-Unternehmen viel Zeit und Ressourcen sparen, denn sie können bei Audits direkt an den Dienstleister als Ansprechpartner verweisen, der sich um das Thema kümmert. Wenn jetzt die richtige Strategie gewählt wird, dann sorgen die Betroffenen mit den Bemühungen rund um das IT-Sicherheitsgesetz nicht nur für Compliance, sondern mittelfristig auch für einen Wettbewerbsvorteil im Hinblick auf die Digitale Transformation.