Foto: vege - Fotolia.com
Angriffe auf Computernetze werden immer professioneller, komplexer und individueller und finden mehr oder weniger unbemerkt an 24 Stunden, sieben Tage pro Woche statt. Vom Finanzsystem bis zur Energieversorgung ist prinzipiell jeder Bereich des zivilen Lebens mit seinen Infrastrukturen zum Ziel von digitalen Attacken geworden.
Ermöglicht wird dies, weil fast alle Bereiche der Wirtschaft und der Infrastrukturen eines Landes heute von Technik beziehungsweise IT abhängen und der Grad der technischen Vernetzung und Kommunikation stetig gestiegen ist und weiter steigen wird. Zahlreiche Pressemeldungen über Cyber-Angriffe auf beispielsweise Versorgungseinrichtungen, Stromnetze, Steuerungssysteme für Anlagen haben die Thematik zusätzlich angeheizt und Handlungsbedarf erzwungen.
Cybersicherheit als neues Schutzziel
Die Bundesregierung hat sich daher deutlichen Handlungsbedarf im Bereich der so genannten Cybersicherheit auf ihre digitale Agenda geschrieben und will kritische Infrastrukturen besser vor Cyberangriffen schützen. Kritische Infrastrukturen sind Einrichtungen und Netze, die für das öffentliche Leben wesentlich sind und deren Ausfall dramatische Folgen haben könnte. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger. Die Maßnahmen der Bundesregierung verfolgen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren.
- Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte. - Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden. - Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist. - Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar. - Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln. - Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert. - Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt. - Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google. - Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.
Umsetzung von Maßnahmen zur Informationssicherheit gefordert
Generell soll geprüft werden, ob der Betreiber die für seine Branche und Technologie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt. Dazu gehört, ein so genanntes Information Security Management System (Sicherheitsorganisation, IT-Risikomanagement, etc.) zu betreiben, kritische Cyber-Assets zu identifizieren und zu managen, Schutzmaßnahmen zur Angriffsprävention zu betreiben, ein Business Continuity Management (BCM) zu implementieren. Darüber hinaus sollen die branchenspezifischen Besonderheiten - zum Beispiel verankert durch den jeweiligen branchenspezifischen Sicherheitsstandard, sofern ein solcher erstellt und anerkannt wurde - umgesetzt werden.
Ausgestaltung der Sicherheitsaudits und Zertifizierungen
Die Ausgestaltung der Sicherheitsaudits, -prüfungen und Zertifizierungen soll nicht im Detail gesetzlich vorgegeben werden. Diese hängt von den jeweils branchenspezifischen Mindeststandards, den in den Branchen vorhandenen technischen Gegebenheiten und gegebenenfalls bereits bestehenden Auditierungs- und Zertifizierungssystemen ab.
Vorstoß nach EnWG für Energie- und Gasversorger bereits sehr konkret
Ein Blick speziell auf die Gesetzgebung zu Energie- und Gasversorgern nach Maßgabe von § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) zeigt, dass hier bereits konkretere Vorstöße seitens des Gesetzgebers vorliegen. Die Betreiber von Strom- und Gasversorgungsnetzen sind verpflichtet, jene Telekommunikations- und elektronischen Datenverarbeitungssysteme, die zur Netzsteuerung dienen, angemessen gegen Bedrohungen nach dem aktuellen Stand der Technik zu sichern.
Dazu hat die Bundesnetzagentur (BNetzA) bereits zu Anfang dieses Jahres einen Katalog von Sicherheitsanforderungen und Maßnahmen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme erstellt, dessen Kommentierungsphase bereits beendet ist und mit dessen Veröffentlichung voraussichtlich zeitnah zu rechnen sein wird. Dieser Katalog bedient sich der ISO/IEC 27001, ISO/IEC 27002 und der DIN SPEC 27009 und geht damit inhaltlich in die gleiche Richtung wie der Ansatz des IT-Sicherheitsgesetzes. Wie und ob diese beiden Gesetzesinitiativen künftig harmonisiert werden, bleibt jedoch abzuwarten.
Meldung von Angriffen wird künftig Pflicht
Die betroffenen Betreiber sollen zusätzlich verpflichten werden, Angriffe auf ihre IT-Systeme zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen. Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit, Transparenz bezüglich Cyberattacken zu schaffen. Die Wirtschaft hatte unter anderem auf die Anonymität solcher Hinweise hingewirkt.
- Zutritt und Zugriff für Unberechtigte
- Verlust tragbarer Speichermedien
- Aufbewahrung von Logins und Passwörtern
- Ungesperrte Arbeitsplätze
- Private Nutzung geschäftlicher Kommunikationsmittel
- Weitergabe firmeneigener IT
- Preisgabe vertraulicher Firmeninformationen
- Unerlaubter Zugriff auf Teile des Netzes
- Installation nicht freigegebener Software
- Änderungen an den Sicherheitseinstellungen des Clients durch den Mitarbeiter
Umsetzungszeitraum von zwei Jahren
In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigt werden. In Zukunft sollen die Unternehmen dann alle zwei Jahre nachweisen, dass sie die Anforderungen noch in ausreichendem Maße erfüllen.
Kontrollmöglichkeiten der Sicherheitsbehörden steigen
Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen: Mit diesen gestiegenen Ressourcen erhöhen sich die Kontrollmöglichkeiten der Sicherheitsbehörden signifikant und der Druck auf die Unternehmen steigt, die Vorgaben zeitnah umzusetzen.
Gesetz verabschiedet - wie ist Ihr Umsetzungsstand?
Das Gesetz wurde nach Abstimmung zwischen den Ressorts am 17.12.2014 beschlossen und vom Kabinett verabschiedet. Es ist damit keine Frage mehr "ob", sondern nur noch "wann" das Gesetz in Kraft treten wird. Alle betroffenen Unternehmen geraten daher unter Zugzwang und sind somit gut beraten, hier bereits vorbereitende Schritte eigeninitiativ durchzuführen und zumindest ihren eigenen Umsetzungsstand bezüglich der geforderten Maßnahmen zu ermitteln, um vorbereitet zu sein. (bw)