Das IT-Sicherheitsgesetz (kurz: ITSG) ist die Umsetzung der deutschen und der europäischen Cyber- Security-Strategie zum Schutz kritischer Infrastruktur. Hier geht es um Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Wie alle anderen Bereiche unserer modernen Gesellschaft sind auch diese inzwischen stark umfasst von der Digitalisierung. Es bleibt nicht aus, dass das Thema IT-Sicherheit mit rasender Geschwindigkeit vom Rand der Aufmerksamkeit in die Mitte rückt.
Das IT-Sicherheitsgesetz will dieses Ziel durch zwei wesentliche Komponenten erreichen:
Verbindliche und nachzuweisende IT-Sicherheits-Mindeststandards;
Meldungspflichten und klare Kontaktwege für betroffene Organisationen.
Wie ist der aktuelle Stand?
Viel wurde nun im Vorfeld über die Kosten und Schwierigkeiten der Umsetzung derselben lamentiert, sowie wer überhaupt genau betroffen sei - wie sieht es aber nun im Frühjahr 2016 aus?
Ein konkreter Katalog der Mindeststandards wurde bisher nur im Energiesektor durch die Bundesnetzagentur veröffentlicht. Wie jedoch vorher zu sehen war, basiert dieser auf der Gruppe der ISO -27000-Standards für Informationssicherheits-Management. Man kann also weiterhin davon ausgehen, dass das auch in den anderen Branchen so sein wird.
- Fürsprecher in der Chefetage gewinnen
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird. - Branchenspezifische Anforderungen
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind. - Nicht nur ein Zertifikat besitzen wollen
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden. - Mit einer GAP-Analyse beginnen
In der Regel bestehen bereits rudimentäre IT-Sicherheitsmaßnahmen. Mit einer GAP-Analyse finden Sie heraus, auf welchen von ihnen sich aufbauen lässt. Dadurch sinkt der Aufwand der Implementierung eines ISO-konformen ISMS erheblich. - Unrealistische Projektierungszeiten vermeiden
Zu anspruchsvolle Ziele können bei einer ehrgzeigen Projektplanung auch kontraproduktiv sein. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb sollten Unternehmen die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren versuchen zu wahren. - Schlanke Realisierungsmethoden nutzen
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen. - Augenmaß bei der Komplexität
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren. - Keine standardisierte Policy anderer nutzen
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht. - Ausufernde Dokumentationen vermeiden
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen. - Für ein breites ISMS-Verständnis sorgen
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören. - Geschäftsleitung in die Schulungen einbeziehen
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen. - Frühzeitig für eine KVP-Kultur sorgen
In einem Kontinuierlichen Verbesserungsprozessen (KVP) werden die Sicherheitsmaßnahmen weiterentwickelt. Das verlangt auch ein organisatorisches Selbstverständnis, das über Schulungen hinauentwickelt werden muss. <br /><br /> <em>(Tipps zusammengestellt von der mikado AG)</em>
Als weitere offizielle Veröffentlichung wurden 700 Anlagen aus den Sektoren Energie, Wasser, Ernährung, IT und Telekommunikation als betroffene Organisationen genannt. Herangezogen wurde dabei die so genannte 500.000er-Regel - bedeutet, wenn 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind, fällt der jeweilige Dienst bzw. dessen Einrichtung in das Raster des IT-Sicherheitsgesetzes.
Viele IT-Sicherheitsverantwortliche in diesen Bereichen dürften jedoch auch etwas aufgeatmet haben. Denn ab einer gewissen Größe haben viele bereits einen respektablen Reifegrad in ihrem IT-Sicherheitsmanagement erreicht (und es geht hier nicht um ein perfektes Sicherheitsniveau, sondern um Prozesse der kontinuierlichen Verbesserung). Auch der Kontakt zu Aufsichtsbehörden ist bereits Usus aus anderen Gründen und die Meldung von Sicherheitsvorfällen muss im Fall des Falles dort nur noch "angedockt" werden.
Hierzu passt auch der Trend zum Aufbau von Security Operations Centern innerhalb der eigenen Organisation oder über externe Dienstleister. Diese SOCs sind ein natürlicher Knotenpunkt für Kontaktwege von und zu den relevanten Behörden. Zu bedenken ist aber, dass diese Kontaktwege keine Einbahnstraße von den Firmen zu den Behörden sind. Insbesondere in Fällen von sehr fortgeschrittenen Angriffen (APT) erfolgen die ersten Warnungen nicht selten zuerst von staatlichen Stellen an die betroffenen Firmen. Kleineren Firmen sei hier übrigens eine Mitgliedschaft in der Allianz für Cyber-Sicherheit empfohlen.
Drei wesentliche Branchen fehlen
Es fällt jedoch auf, dass in der Anlagenauflistung drei Sektoren fehlen: Verkehr und Transport, Gesundheit, und die Finanz- und Versicherungswirtschaft. Die entsprechenden Rechtsverordnungen sollen zwar noch bis Ende 2016 folgen, bis hierhin bewegt sich aber noch vieles im Bereich der Spekulation.
Für die sehr großen Verkehrs- und Transportunternehmen (500.000er-Regel bedenken!) gelten ähnliche Beobachtungen wie für die bereits genannten. Das gleiche gilt auch für die großen etablierten Player in der Finanz- und Versicherungswirtschaft. Doch diese Branche befindet sich gerade mitten in einer riesigen Digitalisierungswelle. FinTech- und InsurTech-Startups sprießen derzeit überall aus dem Boden. IT-Sicherheit ist zwar auch dort ein Thema, aber viele konzentrieren sich aktuell fast ausschließlich auf die Erschließung ihres jeweiligen Marktes. Beachtenswert ist dabei, dass einige bereits in kürzester Zeit auf sechsstellige Nutzerzahlen gekommen sind (500.000er-Regel). Bisher sind nur vereinzelte Sicherheitsvorfälle in dieser Branche bekannt geworden, doch das kann sich schnell ändern.
Denken wir außerdem an den Gesundheitssektor: Hier hat sich in den letzten Jahrzehnten auch still und heimlich die Digitalisierung in großem Stil "eingeschlichen". Jeder Arzt kann bestätigen, dass er die "EDV" zwar nicht unbedingt immer versteht, ihm oder ihr aber erlaubt, die Quartalsabrechnung automatisch zu erledigen - anstatt wie früher die Praxis für drei Tage schließen zu müssen. Diese Art von Software-Unterstützung für wichtige Prozesse und Abläufe ist exponentiell intensiver bei größeren Kliniken. Das Spardiktat im Gesundheitsbereich zwang zu immer größerer Automatisierung in der Verwaltung.
Nirgendwo kann man gleichzeitig die Wichtigkeit der IT und die Anfälligkeit für Sicherheitsvorfälle bei Gesundheitseinrichtungen ablesen, wie bei den aktuellen Crypto-Trojaner-Vorfällen in deutschen (und internationalen) Kliniken. In einigen bekannten Vorfällen wurden für eine Weile nur noch Notfallpatienten aufgenommen und alle anderen abgewiesen. Und die Dunkelziffer ist hoch: Viele betroffene Häuser haben keine Wahl, als das Erpressungsgeld zu zahlen, insbesondere bei Intensivpatienten, bei denen die verlorenen Daten zum Teil nicht wieder neu beschafft werden können.
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Empfehlungen für Unternehmen
Es ist also noch sehr viel zu tun und als erster Schritt ist es gut, dass das Thema IT-Sicherheit wieder höher auf der Prioritätenliste steht. Denn gestörte Verwaltungsprozesse sind das eine, richtig bange wird einem bei dem Gedanken an hochvernetzte medizinische Geräte, die beispielsweise den Körper implantiert werden.
Was können betroffene Organisation nun tun, wenn IT-Sicherheit bisher nur stiefmütterlich behandelt wurde? Hier bietet sich an, etablierte gute Praktiken des Informationssicherheitsmanagements (entsprechend ISO/IEC 27001:2013) anzuwenden:
Klare Regelung von Verantwortlichkeiten und Erwartungen - vom einzelnen Mitarbeiter bis zur Geschäftsleitung. Das beginnt typischerweise mit der Priorisierung des Themas durch die Geschäftsleitung und die Benennung oder Einstellung von hauptberuflichen IT-Sicherheits-Managern. Als weiterer Schritt wird eine erste Sicherheitsrichtlinie für alle Mitarbeiter und Zulieferer veröffentlicht.
Einbindung von relevanter Expertise - extern und intern. Das IT-Sicherheits-Team wird aufgebaut, um die verschiedenen Themenbereiche abzudecken. Dies erfolgt zunächst durch externe Kräfte und kann dann in Kernbereichen intern besetzt werden. Bitte bedenken Sie jedoch, dass die Besetzung von IT-Sicherheits-Stellen oft sechs Monate und länger dauern kann und hier mittlerweile die höchsten Gehälter im IT-Bereich verlangt werden.
Standortbestimmung - Wie ist mein eigener Reifegrad und wo stecken die größten Risiken? Jeder IT-Sicherheitsberater oder Festangestellte, der sein Geld wert ist, wird zunächst mit einer umfassenden Risikoanalyse beginnen und diese mit Benchmarks zu vergleichbaren Organisationen versehen. Als Teil dieser Aktivität wird außerdem der tatsächliche Schutzbedarf verschiedener Organisationseinheiten und Geschäftsprozesse bestimmt, um Fehl- und Überinvestitionen zu vermeiden.
Identifikation von Maßnahmen mit dem größten Return-on-Invest bezogen auf die Risikominimierung: Dies lässt sich vor allem durch eine Fokussierung auf die größten Risiken erreichen. Als weitere Strategie bietet sich an, einzelne Maßnahmen zu identifizieren, welche parallel verschiedene Risiken abdecken (häufig im Bereich der so genannten Klumpenrisiken).
Auswahl einer Reihe von Maßnahmen, welche realistisch in einem bestimmten Zeitraum für die Organisation umsetzbar sind: In vielen Fällen ist die Einführung von Sicherheitsmaßnahmen zunächst sehr schmerzhaft für Organisationen, da es sich häufig um konkurrierende Interessen zu beispielsweise schneller Produktentwicklung, Vertrieb und Mitarbeiterflexibilität handelt. Es ist daher sehr wichtig, die allgemeinen Geschäftsziele im Hinterkopf zu behalten und die Organisation nicht durch zu viele Sicherheitsprojekte zu überfordern (dies sorgt nur dafür, dass diese Projekte durch aktiven Widerstand scheitern werden).
Messung der Effektivität und Leistung von Maßnahmen: Wie jede Investitionsentscheidung müssen auch Sicherheitsmaßnahmen zeigen, dass sie die gesetzten Ziele erreichen. Hier kommt wieder die Risiko- und Schutzbedarfsanalyse ins Spiel.
Zurück zum Anfang und Schritte wiederholen: IT-Sicherheit ist ein Management-Prozess und bleibt nicht an einem bestimmten Punkt stehen sondern erfordert eine kontinuierliche Betrachtung und Verbesserung (Plan-Do-Check-Act). (sh)