Wenn Hacker die IT-Systeme von Stromunternehmen oder Banken angreifen, kann das dramatische Folgen haben. Innenminister de Maizière will solche sensiblen Infrastrukturen besser schützen. Anlauf Nummer zwei für ein IT-Sicherheitsgesetz.
Die Bundesregierung will kritische Infrastrukturen wie Energie- und Telekommunikationsnetze besser vor Cyberangriffen schützen - und geht bei diesen Plänen auf die Wirtschaft zu. Innenminister Thomas de Maizière (CDU) will die betroffenen Betreiber verpflichten, Angriffe auf ihre IT-Systeme zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen.
Das steht nach dpa-Informationen im Entwurf für das IT-Sicherheitsgesetz, das an diesem Dienstag in die Ressortabstimmung gehen soll. Die Firmen aus diesen sensiblen Bereichen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Außerdem sind für die zuständigen Sicherheitsbehörden mehr Geld und Personal eingeplant.
Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische Folgen haben würde. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger.
Infrastrukturen absichern -
Patch-Management Werden IT-Verantwortliche sicher noch in einigen Unternehmen finden: Ältere Systeme mit möglicherweise veraltetem Betriebssystem und nicht mehr ganz aktuellen Softwareständen. Hier beispielsweise ein Fax-Kommunikationsserver mit FRITZ!fax auf Basis von Windows XP.
Informationspolitik Wichtige Informationen: Namhafte Hersteller informieren über Pressemitteilungen, sobald sie neue Firmware bereitstellen. Für Altsysteme gilt dies leider nicht und kann zur Gefahr für die eigene Infrastruktur werden.
Versionen Entscheidend für den Überblick: Die Versionsstände von Aktivkomponenten sollten bekannt sein.
Aktivkomponenten Wird im täglichen Betrieb gerne vergessen: Aktivkomponenten wie Switches müssen ebenso aktualisiert werden, wie Client- oder Server-Systeme, damit das gesamte Netzwerk sicher ist.
Zentraler Storage Wichtig und wird leider häufiger vergessen: Zentrale Storage-Systeme wie Datei-Server können nur in geplanten „Downtimes“ aktualisiert werden.
Switches nicht vergessen . Auch ein Teil der „verborgenen Infrastruktur“ in vielen Unternehmen: Selbst direkt in der Medienleiste verschraubte Switches sollten mit aktueller Firmware ausgestattet sein.
Aktualisierung von Exchange Sollten Administratoren wissen, damit alle Teile der IT-Infrastruktur sicher sind: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Wirtschaft wehrte sich
Bereits in der vergangenen Legislaturperiode hatte die damalige Bundesregierung einen Gesetzentwurf für ein IT-Sicherheitsgesetz auf den Weg gebracht(lesen Sie dazu auch unser damaliges Interview mit dem BSI-Vertreter Holger Junker, Anm. d. Red.). Die Pläne kamen aber nicht mehr rechtzeitig durch das parlamentarische Verfahren - nicht zuletzt wegen Widerständen aus der Wirtschaft. Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit, zu offenbaren, wenn sie Opfer von Cyberattacken werden. Firmen hatten unter anderem auf Anonymität bei solchen Hinweisen gepocht.
Die will ihnen die Regierung nun in den meisten Fällen zugestehen - nämlich dann, wenn eine Firma einen Cyberangriff bemerkt, dadurch aber keine größeren Störungen entstehen.
Mindeststandards erforderlich
In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) abgesegnet werden. In Zukunft sollen die Firmen dann alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.
Die 13 Gebote des Cyber-Kriegs -
1. Gebot: Planen Sie zuallererst das Sicherheitskonzept! Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.
2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein! Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an.
3. Gebot: Kennen Sie Ihre Gegner und deren Strategien! Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten.
4. Gebot: Wissen Sie, wann was abgesichert werden muss! Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing.
5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle! Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen.
6. Gebot: Ausgaben allein verbessern die Sicherheit nicht! Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen.
7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können! Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen.
8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept! Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden.
9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt! Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen.
10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts! Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden.
11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran! Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen.
12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter! Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen.
13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert! Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.
Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen.
Die Zuständigkeit des Bundeskriminalamts (BKA) soll ausgeweitet werden auf bestimmte Cyberdelikte, für die bislang noch die Länder verantwortlich sind.
Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen: Das BKA soll 108 Stellen extra bekommen. Die Kosten dafür werden auf 7,3 Millionen Euro jährlich beziffert. Hinzu kommen etwa 680 000 Euro im Jahr an Sachmitteln.
Personal soll aufgestockt werden
Beim BSI sind 133 zusätzliche Stellen vorgesehen. Das soll 8,8 Millionen Euro jährlich kosten. Außerdem sind noch einmal fünf Millionen Euro im Jahr für Ausstattung beim BSI eingeplant.
Auch beim Bundesamt für Verfassungsschutz, das die Wirtschaft bei der Abwehr von Spionage und Cyberattacken unterstützt, wird das Personal aufgestockt (55 zusätzliche Stellen), beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ebenso - wenn auch in deutlich kleinerem Umfang (9 Stellen extra).
BSI und BKA wollen im Kampf gegen Cyberspionage und -kriminalität aufrüsten. Foto: peshkova - Fotolia.com
Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. Internet-Provider etwa sollen verpflichtet werden, ihre Nutzer im Fall einer Systemstörung zu informieren.
"Die Welt" und das "Handelsblatt" hatten als erstes über Details aus dem Gesetzentwurf berichtet. (dpa/sh)
Im Video: Kapitulation der IT-Sicherheit
„Wir erleben die Kapitulation der IT-Sicherheit“, behauptet Frank Rieger vom Chaos Computer Club auf dem Bonner Dialog für Cybersicherheit (BDCS). Die Deutsche Telekom malt kein so düsteres Bild. Thomas Tschersich, Sicherheitschef bei den Bonnern, fordert von der Politik einheitliche Spielregeln: „Das Internet umspannt die Welt – doch die Rechtsräume enden noch an nationalen Grenzen. Das muss zusammen gebracht werden.“ Das Unternehmen wartet aber nicht auf die Diplomatie - es reagiert mit eigenen Sicherheitspaketen nach dem Vorbild der Automobilindustrie.