»Unternehmer könnten alles verlieren«

Das IT-Sicherheitsgesetz nimmt Unternehmen ab Sommer 2017 gezielt in die Pflicht und in Regress. Welche Branchen betroffen sind – und was auch Betriebe aus anderen Wirtschaftszweigen beachten sollten –, verrät der Sicherheitsberater Carl W. A. Dietzel (Foto) von Dietzel & Company. Interview: Ingo Schenk

Im Juli 2015 trat das IT-Sicherheitsgesetz (ITSiG) in Kraft. Wen betrifft es – und was hat sich für den breiten Mittelstand damit verändert?

Sie erinnern sich gewiss an den Appell der Bundesregierung an alle Bürger, Trinkwasser- und Lebensmittelvorräte anzulegen für den Fall, dass kritische Infrastruktur ausfällt? Das ITSiG hat einen ähnlichen Hintergrund: Es verpflichtet in erster Linie die Betreiber „kritischer Infrastrukturen“ zu mehr Anstrengungen in puncto IT-Sicherheit: Energie, IT und Telekommunikation natürlich, aber auch Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Insgesamt müssen Anbieter aus 30 Branchen binnen zwei Jahren nachweisen, dass sie ihre Organisationen und Systeme so weit aufgerüstet haben, dass sie Störversuche damit wirksam abwehren können. Außerdem gilt für sie eine Meldepflicht bei sicherheitsrelevanten Vorfällen.

netzwert
Welche Branchen das ITSiG betrifft: creditreform-magazin.de/ITSiG

Binnen zwei Jahren heißt: von Juli 2015 an gerechnet? Die Uhr tickt also…

Ja, der Zeitdruck ist enorm, denn schaffen die Anbieter die Umbauten nicht fristgemäß, drohen empfindliche Geldbußen. Zumal das Spektrum der potenziellen Angriffe so enorm breit ist. Sie müssen sich nur einmal vor Augen führen, dass ein Konzern wie Volkswagen rund 6.000-mal pro Woche aus dem Internet angegriffen wird – das zeigt die gewaltige Dimension des Problems.

Wie weit sind die Vorbereitungen denn gediehen?

Bei den ganz großen Anbietern aus den vor allem betroffenen Branchen Telekommunikation, Finanz- und Versicherungswesen muss man sich wohl weniger Sorgen machen. Die sind mit der Problematik meist schon durch andere regulatorische Rahmenbedingungen und aus der Historie heraus vertraut und haben in der Regel eigene Abteilungen, die sich um die IT-Sicherheit kümmern. Anders sieht es in vielen kleinen und mittelgroßen Unternehmen aus besagten 30 Branchen aus. Hier fehlt den Entscheidern nicht selten das Problembewusstsein, und sie unterschätzen den Handlungs- und Zeitdruck, unter dem sie stehen. Zum Teil fehlt ihnen auch schlicht die fachliche Kompetenz. Das ist brandgefährlich – auch für unsere Infrastruktur und Versorgungssicherheit als solche. Denn auch diese kleinen Anbieter könnten zur Zielscheibe von digitalen Datendieben oder Erpressern werden, die per Internet wichtige Blaupausen stehlen, Webseiten kapern oder mit der Sabotage von Anlagen drohen. Wer sich nicht schützt, hat viel, manchmal alles, zu verlieren.

Was empfehlen Sie also?

Ist ein Unternehmen nicht in der Lage, das Thema IT-Sicherheit eigenständig in den Griff zu bekommen, muss es sich Hilfe von außen holen. Externe Spezialisten führen dann im ersten Schritt zum Beispiel eine GAP-Analyse durch und zeigen so das Delta zwischen dem Ist-Zustand und den (Mindest-)Anforderungen auf. Daraus leiten sich dann die konkreten Handlungsempfehlungen ab. Der Nachweis, dass die geforderten Bedingungen erfüllt werden, kann anschließend durch Audits, Prüfungen und Zertifizierungen erbracht werden. Der Gesetzgeber verlangt übrigens, dass dies regelmäßig alle zwei Jahre stattfindet.

Noch mal zur Eingangsfrage: Was raten Sie den kleinen und mittelständischen Unternehmen, die nicht direkt vom ITSiG betroffen sind?

Auch für sie gilt: Digitalisierung macht verwundbar. Sie sollten daher ebenfalls ihre Prozesse optimieren und ihre IT-Systeme prüfen lassen. Penetrationstests könnten Sicherheitslücken im IT-System aufspüren und anschließend helfen, diese zu stopfen. Auch die Schulung des Personals ist nicht nur sinnvoll, sondern elementar wichtig. Datensicherheit beginnt bekanntlich in den Köpfen der Mitarbeiter – egal in welcher Branche.