INTERVIEW harte Sanktionen gleich mehrfach bestraft, einmal durch den Angriff selbst, dann durch den Vertrauensverlust im Fall einer Meldung sowie durch die Sanktion, wenn der Angriff nicht gemeldet wird, gibt Dr. Oliver Grün, Präsident des Bundesverbandes IT-Mittelstand e. V. (BITMi), zu bedenken. Fazit: In anderen Branchen wie der Automobil-, Pharma- oder Lebensmittelindustrie gibt es seit Langem gesetzliche Standards und Meldepflichten. Diese sorgen für mehr Sicherheit für jeden Einzelnen zum Beispiel im Straßenverkehr. Dennoch kann nicht jeder Unfall verhindert werden. An jedem Steuer sitzt ein Mensch und der lässt sich nicht standardisieren. So ist es bei der IT-Sicherheit auch. Eine Meldepflicht setzt aber immer erst dann an, wenn das Kind schon in den Brunnen gefallen ist. Am Ende kann nur ein Zusammenspiel von Regulatorien, Standards, Einbindung der Hersteller und der Sensibilisierung des Einzelnen für mehr Sicherheit sorgen. „Die Einführung besserer Sicherheitsstandards im Bereich kritischer Infrastruktur ist zu begrüßen. Dies liegt auch im Eigeninteresse der Unternehmen. Zudem bietet sich die Chance auf einen Wettbewerbsvorteil. Aber letztlich dürfen die Kosten den möglichen Nutzen nicht übersteigen“, meint Franz J. Grömping, Geschäftsführer der Arbeitgebervereinigung für Unternehmen aus dem Bereich EDV und Telekommunikation e. V. (AGEV). Kontaktdaten des SPoC (Single Point of Contact): Landeskriminalamt Nordrhein-Westfalen Zentrale Ansprechstelle Cybercrime Telefon: 0211 939 4040 Fax: 0211 939 4198 E-Mail:[email protected] Die Kontaktdaten der zentralen Ansprechstellen Cybercrime aller Landeskriminalämter sind veröffentlicht auf der Internetseite der Allianz für Cybersicherheit (Meldestelle > Kontakt zur Polizei). https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/ Polizeikontakt/polizeikontakt.html Interview Zweifel am Nutzen Mit ihrem Gesetz zur IT-Sicherheit möchte die Regierung die digitale Welt ein bisschen besser und sicherer machen. Experten zweifeln, dass der aktuelle Gesetzesentwurf das probate Mittel ist. Zu viele Fragen sind noch ungeklärt: Was sind „erhebliche Sicherheitsvorfälle“, und welche Informationen müssen Unternehmen bei einem solchen Vorfall weitergeben? Fragen, auf die Arne Schönbohm, Präsident vom Cyber-Sicherheitsrat Deutschland e. V., gerne Antworten hätte. Die Politiker verunsichern Unternehmen zusehends mit ihren Forderungen und geplanten Vorschriften. Dabei muss IT-Sicherheit nicht zwangsläufig teuer sein, wie der Präsident des Bundesverband des IT-Mittelstand, Oliver Grün, erklärt. Was das neue Gesetz bringt und was es für kleine und mittelständische Unternehmen bedeutet, erklären uns Schönbohm und Grün im Interview. Arne Schönbohm Schönbohm studierte Internationales Management in Dortmund, London und Taipeh. Von 1995 bis 2008 war er bei der EADS beschäftigt, zuletzt als Vice President Commercial and Defence Solutions. Seit Juni 2008 ist er Eigentümer von Schönbohm Consulting und seit Dezember 2008 Vorstand der BSS BuCET Shared Services AG. Darüber hinaus ist er seit September 2012 Präsident des Cyber-Sicherheitsrates Deutschland e. V. und seit Dezember 2012 Mitglied der Cyber Security Coordination Group. AGEV: Brauchen wir ein neues Gesetz für IT-Sicherheit? Arne Schönbohm: Bei dieser Gesetzesvorlage wird verwaltet und nicht gestaltet. Durch die technologischen Entwicklungen der Industrie 4.0 und des Internets der Dinge erhöht sich der Grad der Vernetzung und damit auch die Angriffsflächen, die von CyberKriminellen für ihre Angriffe ausgenutzt werden. Die Anzahl der digitalen Delikte nimmt dabei täglich zu. Die Behörden kommen bei der Menge von Meldungen nicht hinterher, weshalb drei von vier Straftaten im Cyber-Raum unaufgeklärt bleiben. Bevor wir uns an ein Gesetz zur Erhöhung der IT-Sicherheit in Deutschland wagen, brauchen wir eine ganzheitliche Strategie, die öffentliche Behörden und Privatunternehmen mit einbezieht. Unverständlicherweise werden im IT-Sicherheitsgesetz jedoch nur die Betreiber kritischer Infrastrukturen adressiert. Staatliche Behörden bleiben hingegen außen vor. AGEV: Was kann aus Ihrer Sicht noch verbessert werden? Arne Schönbohm: Neben den öffentlichen Behörden trägt auch die Hard- und Software-Industrie eine besondere Verantwortung. Auch sie sollte im Gesetzesentwurf mit einbegriffen werden. Zudem sind zentrale Begriffe wie „kritische Infrastruktur“ oder „erhebliche Sicherheitsvorfälle“ bis dato nur unzureichend definiert worden. Welche Informationen im Falle von Angriffen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitergegeben werden müssen, ist nach wie vor nicht geklärt. Diese wesentlichen Aspekte sollen erst in einer Rechtsverordnung außerparlamentarisch geklärt werden. Fortsetzung auf Seite 6 II/2015 6 INTERVIEW Damit kann von Planungs- und Rechtssicherheit in dem jetzigen Gesetzesentwurf nicht die Rede sein. Diese Defizite tragen dazu bei, dass verfassungsrechtliche Bedenken vorliegen, die vom Gesetzgeber gegenwärtig noch nicht ausgeräumt worden sind. AGEV: Welche Auswirkungen hat das Gesetz auf kleine und mittelständische Firmen? Arne Schönbohm: Bei kleinen und mittelständischen Unternehmen führt das IT-Sicherheitsgesetz zu großer Verunsicherung. Durch die vom Gesetz vorgesehene Meldepflicht und die neuen ITSicherheitsstandards werden für sie Mehrkosten entstehen. Auf ihre IT-Sicherheit wird das Gesetz hingegen keine reellen Auswirkungen haben. Kleine und mittelständische Unternehmen sind nach wie vor auf ihren Selbstschutz angewiesen, weshalb sie in die Sicherheit und Kontrolle ihrer IT-Systeme und die Schulung ihrer Mitarbeiter investieren sollten. Sie sind oft wichtige Zulieferer und Kooperationspartner von Betreibern kritischer Infrastrukturen. Denken wir in diesem Sinne an die Automobil- und Energiebranche. Sollten sich in ihren Komponenten Sicherheitslücken befinden, droht das ganze Endprodukt Hackern schutzlos ausgeliefert zu sein. Deshalb versuchen Konzerne und kleine und mittelständische Unternehmen voneinander zu lernen. Unternehmen aus der Energiebranche haben beispielsweise ein „German Cyber Security Hub Electricity“ (Cyberhub-E) gegründet, in dem sie Know-how bündeln und gemeinsame Maßnahmen zur Bekämpfung von Gefahren aus dem Netz ausarbeiten. AGEV: Herr Schönbohm, wir danken Ihnen für dieses Gespräch. Interview Gesetz ist eine Belastung Ob das geplante Gesetz eine nützliche Orientierungshilfe für mehr IT-Sicherheit oder eher zur Belastung für den Mittelstand wird, bleibt fraglich. Um die Folgen für kleine und mittlere Betriebe besser einschätzen zu können, haben wir Oliver Grün, Präsident des Bundesverband des IT-Mittelstand e. V., um seine Meinung gebeten. AGEV: Selbst große Unternehmen wie Sony oder Adobe bleiben vor Cyberattacken nicht verschont. Haben wir den Kampf dagegen schon verloren? Dr. Oliver Grün Jahrgang 1969, ist Gründer, Alleinaktionär und Vorstand der GRÜN Software AG sowie Präsident des Bundesverband des IT-Mittelstand e. V. und Vizepräsident des IT-Mittelstand-Europaverbandes PIN-SME. Ferner ist er Mitglied des Beirates „Junge Digitale Wirtschaft“ beim Bundeswirtschaftsministerium, welcher das Ministerium zu Fragestellungen der digitalen Wirtschaft berät. Oliver Grün: Nein, den Kampf haben wir nicht verloren. Gerade der deutsche IT-Mittelstand kann hier einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit leisten. Nehmen wir bspw. die kritische Sicherheitslücke in den Routern eines großen deutschen Kabelnetzbetreibers. Die wurde über mehrere Wochen hinweg nicht geschlossen, obwohl sie bekannt war. Alle Geräte dieses Betreibers und die dahinter aufgehängte IT waren sehr verletzbar. Durch Diversifizierung und mehr Wettbewerb wäre es nicht so einfach, im großen Stil Rechner von Bürgerinnen und Bürgern anzugreifen. II/2015 AGEV: Kann ein neues IT-Sicherheitsgesetz helfen, Cybercrime besser zu bekämpfen, oder schafft das nur neue Bürokratie für die Wirtschaft? Oliver Grün: Nein, das kann es nicht. Das nationale IT-Sicherheitsgesetz schreibt Meldepflichten für Betreiber kritischer Infrastrukturen vor. Diese Meldepflichten belasten insbesondere kleine und mittelständische Unternehmen, die häufig entsprechende Strukturen erst schaffen müssen. Außerdem stellt das Gesetz einen nationalen Alleingang dar. In Brüssel wird derzeit eine Richtlinie verhandelt, die ebenfalls die IT-Sicherheit in kritischen Infrastrukturen regeln soll. Je nachdem, was die fertige Richtlinie dann vorschreibt und wie schnell das BMI seine Verordnung zum Gesetz erlässt, kann es dann sein, dass gerade geschaffene Strukturen noch einmal angepasst werden. Das würde dann zusätzliche Bürokratie bedeuten. Ob das dann aber tatsächlich zu mehr Sicherheit führt, das bezweifle ich. AGEV: Was können kleine Unternehmen mit begrenzten Kapazitäten tun, um sich wirksam zu schützen? Oliver Grün: Mehr IT-Sicherheit muss nicht zwangsläufig immer teuer sein. Über die Hälfte der Angriffe kommen von innen, also von Mitarbeitern oder ehemaligen Angestellten. Hier kann beispielsweise schon ein gutes Passwortmanagement helfen, bei dem Zugangsdaten regelmäßig erneuert werden. Auch anscheinend offensichtliche Maßnahmen, wie die Aktualisierung von Antivirenprogrammen und täglich genutzten Anwendungen, sind hilfreich und wichtig, werden aber oft nicht konsequent befolgt. Und zuletzt gibt es ja auch z. T. sehr gute und günstige Möglichkeiten, Daten auf vertrauenswürdigen Servern oder Clouds zu hinterlegen. AGEV: Herr Grün, wir danken Ihnen für dieses Gespräch.
© Copyright 2024 ExpyDoc
