Das IT-Sicherheitsgesetz – Verpflichtung zu umfassender IT-Sicherheit
Seit rund einem Jahr ist es nun in Kraft: das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, auch IT-SiG 2.0 genannt. Es ergänzt das schon seit 2015 geltende 1. IT-Sicherheitsgesetz – und bereits dort formulierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) das übergeordnete Ziel, dass das IT-Sicherheitsgesetz seinen Beitrag dazu leisten soll, „die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen.“
Das IT-SiG 2.0 ersetzt keinesfalls die bisherigen Regelungen, sondern erweitert unter anderem sowohl die Kompetenzen des BSI als auch den Geltungsbereich der Verordnung zu kritischen Infrastrukturen (KRITIS) und die Pflichten für KRITIS-Betreiber. In Deutschland zählen folgende Bereiche zu KRITIS:
- Energie (Elektrizität, Kernkraftwerke, Mineralöl, Gas)
- Finanzwesen (Banken, Versicherungen, Finanzdienstleister, Börsen)
- Gefahrstoffe (Chemie- und Biostoffe, Gefahrguttransporte, Rüstungsindustrie)
- Informationstechnik und Telekommunikation (Telekommunikation, Informationstechnologie)
- Staatliche Einrichtungen (Behörden, Verwaltung und Justiz)
- Transport und Verkehr (Luftfahrt, Seeschifffahrt, Bahn, Nahverkehr, Binnenschifffahrt, Straße, Postwesen)
- Versorgung (Gesundheits-, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittel- und Wasserversorgung, Entsorgung)
- Sonstiges (Medien, Großforschungseinrichtungen sowie herausragende oder symbolträchtige Bauwerke, Kulturgut)
Gesetzliche Verpflichtung zur Meldung von IT-Sicherheitsvorfällen
Bereits in der Version 1.0 des Gesetzes – und das war damals eine der wichtigsten Neuerungen – wurde aus der Freiwilligkeit einen IT-Sicherheitsvorfall zu melden eine gesetzliche Verpflichtung. Zwar gab es in Deutschland bereits mit der Allianz für Cyber-Sicherheit ein auf Freiwilligkeit beruhendes Verfahren zur Meldung solcher Ereignisse, aber erst dann wurde dies erstmals gesetzlich vorgeschrieben.
Zudem wurden Unternehmen aus dem Bereich der KRITIS verpflichtet, ihre IT-Systeme auch insgesamt besser gegen digitale Angriffe abzusichern. Das funktioniert allerdings nur mit umfassenden Maßnahmen. Lediglich Firewalls, Virenscanner und andere Security-Lösungen zu implementieren, genügt den strengen Anforderungen der aktuellen IT-Sicherheitsgesetzgebung nicht. Unternehmen müssen vielmehr dafür sorgen, dass ihre gesamte IT-Landschaft regelmäßig auf den neuesten Stand gebracht wird – durch das Einspielen von Patches, Hotfixes und wichtigen Updates. Darüber hinaus müssen sie auch ihre Mitarbeiter für das Thema IT-Sicherheit und Schutz vor externen Cyberattacken sensibilisieren. Das Gesetz zwingt Kritis-Unternehmen vor allem dazu, wirklich alle Aspekte in der IT-Sicherheitsstrategie zu berücksichtigen.
Sicherheitsaufgaben mit UEM automatisieren
Ein umfassender Schutz der IT-Landschaft ist auch eines der zentralen Themen für uns bei baramundi. Die baramundi Management Suite wurde dafür entwickelt, IT-Infrastruktur optimal administrierbar zu machen: Jeder einzelne Arbeitsplatz im Unternehmen soll so gut wie möglich geschützt sein, ohne dabei die Produktivität der Angestellten einzuschränken. UEM-Lösungen wie die bMS ermöglichen das nicht nur vom ersten Arbeitstag neuer Mitarbeiter:innen im Rahmen des administrativen Onboarding-Prozesses bis hin zum Offboarding. Auch die Einführung neuer Software lässt sich mit UEM-Lösungen präzise im Blick behalten und Admins wissen jederzeit genau, in welcher Version auf welchem System und auf welchen Clients welche Software läuft.
Transparenz von A bis Z für Richtlinien-konforme Sicherheit
Neben der Inventarisierung lassen sich damit auch Aufgaben wie das Verteilen neuer Software, die Freigabe individueller Software-Pakete für bestimmte Anwender:innen oder Abteilungen sehr einfach automatisch gestalten.
Aufgrund des genauen und transparenten Überblicks wissen IT-Teams so auch immer Bescheid, wann an welchen Systemen welche Updates zum Schließen neu bekannt gewordener Sicherheitslücken zu installieren sind. Die Automatisierung unterstützt sie dabei, die Zeitpunkte zu definieren, wann diese eingespielt werden sollen. Handelt es sich um eine extrem kritische Lücke, mag es notwendig sein, dass der Hotfix umgehend nach Hochfahren des Rechners installiert werden muss. Oder die IT kann dies flexibel gestalten und einen Rahmen von beispielsweise 24 Stunden setzen, bis sich das Update dann automatisch installiert.
Allein dieses eine Beispiel zeigt, wie wichtig es für Unternehmen ist, ob KRITIS oder nicht, einen wirklich umfassenden Ansatz bei der Implementierung einer eigenen IT-Sicherheitsstrategie zu verfolgen. Denn jede noch so kleine Lücke beim Schutz vor Cyberattacken kann das Tor für Kriminelle weit öffnen und damit die Sicherheit gefährden – im schlimmsten Falle vielleicht sogar die gesamte Zukunft des Unternehmens.