Cybersicherheit

IT-Sicherheitsgesetz, BSI-Kritisverordnung & Cybersicherheit – Das Gesetz in der Digitalen Welt

Das Bundeskabinett hat die Änderung der BSI-Kritisverordnung – BSI-KritisV beschlossen. Neben den bereits 2016 geregelten Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung sind nunmehr auch die Sektoren „Transport und Verkehr“, „Gesundheit“ sowie „Finanz- und Versicherungswesen“ einer Regelung zugeführt worden beziehungsweise bestimmt, welche Anlagen als Kritische Infrastrukturen gelten.

Kleiner Auszug (http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/IT-Cybersicherheit/referentenentwurf-zur-aenderung-kritis-vo.pdf?__blob=publicationFile)

  • Geschätzt 918 Anlagen insgesamt
  • Geschätzt 110 Krankenhäuser – 30.000 Behandlungsfälle pro Jahr als Schwellenwert
  • Geschätzt 56 Anlagen im Schienenverkehr

Nach der Orientierungshilfe des Bundesamt für Sicherheit in der Informationstechnik (BSI) bezüglich des § 8a Absatz 3 BSIG ist für den Nachweis angemessener organisatorischer und technischer Vorkehrungen eine Vielzahl an Prüfgrundlagen denkbar, sofern diese geeignet sind, die Erfüllung von § 8a Absatz 1 BSIG nachzuweisen. Neben branchenspezifischen Standards (B3S) kommen weitere Standards wie etwa Zertifizierungsschemata für ISO 27001 (Nativ oder auf Basis von IT-Grundschutz), ISO/IEC 17021-1 oder ISO/IEC 27006) in Betracht.

Nun könnten sich all jene entspannt zurücklehnen, die Hände reiben, an denen der Kelch des IT-Sicherheitsgesetzes vorübergegangen ist. Das wäre eine Variante, wenngleich unter all den denkbaren Varianten die schlechteste. Obwohl nur ein Drittel der 504 Befragten im Rahmen der e-Crime-Studie 2017 der Wirtschaftsprüfungsgesellschaft KPMG vom IT-Sicherheitsgesetz betroffen ist, so sind dennoch 38% damit vertraut. Bemerkenswert, dass der Prozentsatz derjenigen, die von Cyberkriminalität unter den Befragten bereits betroffen war, sich mit jenem gleicht, der die Vertrautheit mit dem IT-Sicherheitsgesetz auszeichnet: 38 Prozent. Wenn das mal kein Zufall ist.

Allerdings besteht hier offenkundig eine Diskrepanz aus Risikowahrnehmung – hoch beziehungsweise sehr hoch – durch Cyberkriminalität (knapp 90%) und dem Auseinandersetzen mit sicherheitsrechtlichen Entwicklungen, womöglich auch Stellungnahmen und Best-Practice-Ansätzen. Mit Blick auf das Allianz Risk Barometer, für welches über 1200 Teilnehmer befragt wurden, ist eine Auseinandersetzung mit Informationssicherheit absolut unerlässlich, wurden Cybervorfälle doch in der Befragung auf Rang 3 der globalen Geschäftsrisiken gewählt.

Und was wäre eine Umfrage/Statistik ohne eine verkaufsfördernde Darlegung von Schadenssummen. In der Studie von KPMG finden sich dann durchaus bemerkenswerte Zahlen. Denn jedes 20. Unternehmen der Befragten gab an durch Cyberkriminalität mehr als 1 Million Euro Schaden erlitten zu haben. Damit lässt sich nunmehr im Rahmen des Risikomanagements recht vernünftig  experimentieren.

Beizumengen ist ein weiterer Aspekt, nämlich die Tatsache, dass Kundendaten neben Bank-/Finanzdaten des Unternehmens mit 75% als besonders risikobehaftete Informationen eingestuft werden. Wäre man nun verwegen, so würde man sicherlich auf den Gedanken kommen können, dass Datenschutz sich durchaus mit Informationssicherheit verträgt und für den Schutz von Informationen ein einheitliches System geschaffen werden sollte. Wenn man nun den Ausspruch „Daten sind das Gold des 21. Jahrhunderts“ als Erinnerungshilfe neben die Erwägungen Pro oder Contra einer IT-Sicherheitsstrategie legen würde, dann könnten vielen Unternehmen ein Licht aufgehen.

 

Bild designed by Freepik

Alexander Jung

Alexander Jung

Seit 08/2016 bei der SK-Consulting Group GmbH als Senior Consultant Datenschutz mit einem Fokus auf der systematischen Umsetzung der Datenschutzgrundverordnung und begleitenden Sondernormen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.