Voice e.V. nimmt Stellung

Das IT-Sicherheitsgesetz im Urteil der CIOs

14.10.2015 von Redaktion CIO
Während eines kürzlich vom CIO-Magazin veranstalteten CIO-Roundtables in München wurde das neue IT-Sicherheitsgesetz diskutiert. Die CIOs, unter denen auch zahlreiche Mitglieder des IT-Anwenderverbands Voice, begrüßten zwar die Aufmerksamkeit, die das Gesetz für das Thema Cyber-Security erzeugt. Doch sie erwarten zügige Präzisierungen durch die noch fehlenden Rechtsverordnungen.
  • Der Datenverkehr muss transparenter geregelt werden, um den Missbrauch von Datenverbindungen zu erschweren
  • Es fehlen Regelungen, um die Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking und Spionage zu verbessern
  • Software- und Service-Anbieter sollten stärker in gesetzliche Regelungen zur Cyber-Security eingebunden werden; zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwenderunternehmen
  • Voice fördert die Vernetzung der Anwenderunternehmen in Sachen Security und Cyber-Risk

Die rund 20 anwesenden CIOs und Top-IT-Entscheider bewerten das im Juli in Kraft getretene Gesetz zurückhaltend positiv. Zum einen lenke es endlich verstärkt Aufmerksamkeit auf den Bereich Cyber-Crime und trage so zu einem strikteren Vorgehen gegen Cyber-Kriminalität bei. Zum anderen wiesen die CIOs auf noch zu konkretisierende Rechtsverordnungen in dem Gesetz hin, in denen unter anderem genau festgelegt wird, in welchem Rahmen und mit welchen Auswirkungen Unternehmen und Organisationen der sogenannten kritischen Infrastruktur (Kritis) angehören, die Sicherheitsvorfälle an das Bundesamt für Informationssicherheit melden müssen.

Über die spezifischen Inhalte des Roundtables wurde aufgrund des sehr sensiblen Themas Vertraulichkeit vereinbart. Doch Voice, der Bundesverband der IT-Anwender e.V. nimmt zum IT-Sicherheitsgesetz Stellung.

IT-Sicherheitsgesetz ist dringend notwendig

Voice begrüßt das IT-Sicherheitsgesetz als einen ersten, dringend notwendigen Schritt. Es schafft die Grundlage für Standort- und Rechtssicherheit. Allerdings sollten möglichst zügig die entsprechenden Rechtsverordnungen formuliert und in Kraft gesetzt werden, damit das Gesetz nicht Hülle bleibt, sondern tatsächlich mehr Sicherheit schafft.

Das IT-Sicherheitsgesetz konzentriert sich in seiner heute vorliegenden Form praktisch ausschließlich auf die Verpflichtung der Unternehmen im Bereich kritischer Infrastrukturen (Kritis), bestimmte Sicherheitsstandards für ihre IT-Systeme zu gewährleisten und bei gravierenden Sicherheitsvorfällen diese den Behörden zu melden. Voice unterstützt dieses Vorgehen als einen ersten, dringend notwendigen Schritt.

Opferschutz und Vertraulichkeit

Eine dringende Präzisierung des Gesetzes bzw. der zugehörigen Rechtsverordnung betrifft jedoch die Details zum Opferschutz bzw. zur Gewährleistung der Vertraulichkeit von Ereignismeldungen. Dies ist eine zwingende Voraussetzung für das Entstehen einer ausreichenden Vertrauensbasis zwischen Unternehmen und Behörden und somit für die Akzeptanz und Wirksamkeit des Gesetzes.

Damit ein solches Vertrauen wachsen kann, muss genau geregelt werden, was die Behörden mit den Meldedaten im Einzelnen tun dürfen und wie sie sie schützen, so dass die durch Online-Kriminelle ohnehin schon geschädigten Unternehmen nicht noch Reputationsschäden erleiden. Als Vorbild sollten hier die geltenden Regelungen aus dem Strafrecht herangezogen werden.

Keine Regelungen für Internetdienstleister

Der vorliegende Gesetzentwurf beschränkt sich auf den Selbstschutz der Kritis-Unternehmen im Cyber-Raum, enthält jedoch keinerlei Regelungen zum Verhalten von Internetdienstleistern und zur Kommunikation im Internet. Das im Gesetz geforderte, hohe Schutzniveau ist für die Unternehmen nur dann zu vertretbaren Kosten darstellbar, wenn darüber hinaus allgemeine Regelungen zum Datenverkehr verabschiedet werden.

Missbrauch von Datenverbindungen

Voice fordert Regelungen zur Transparenz des Datenverkehrs. Um den Missbrauch von Datenverbindungen zu erschweren, muss die Verwendungen von Datenprotokollen und Verbindungsarten stärker reglementiert werden. So gibt es bislang keinerlei gesetzliche Einschränkungen zur Nutzung von Datenports, obwohl die derzeitigen Firewallkonzepte hierauf aufbauen.

5 Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.

Regelungen zur Verbesserung der Entdeckbarkeit fehlen

Des Weiteren fehlen Regelungen zur Verbesserung der Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking, Spionage etc. Die Verifikation und die minimale Gültigkeitsdauer von Internet-Adressen sowie die Rückverfolgbarkeit von Datenströmen sind weithin ungeregelt. Abgebildet auf den Autoverkehr würde dies heißen, dass ein Fahrzeugbesitzer Nummernschilder in beliebiger Anzahl am Kiosk erwerben und dann innerhalb von Sekunden jederzeit wechseln könnte, ohne sich illegal zu verhalten. Eine Verbrechensbekämpfung wäre so nahezu unmöglich. Im Cyber-Raum kommt die fehlende Gegenständlichkeit der Handlungen hinzu, was tendenziell eher stärkere Einschränkungen erforderlich macht.

Außerdem befürwortet Voice eine stärkere Einbindung von Software- und Service-Anbietern in gesetzliche Regelungen zur Cyber-Security. Zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwendungsunternehmen. Kritis-Unternehmen müssen dem BSI Sicherheitsvorfälle melden. Häufig liegt die Ursache dieser Sicherheitsvorfälle, die Risikoquelle also, aber in Fehlern in Standard-Software oder -services.

Zero Day Exploits

Die sogenannten Zero Day Exploits sind dafür ein beredtes Beispiel. Angreifer nutzen frisch entdeckte, noch nicht gepatchte Fehler aus, um in Anwendungssysteme einzudringen. Voice fordert deshalb den Gesetzgeber auf, diese ungleichen Berichtspflichten von Anwendern und Anbietern anzugleichen und auch Anbieter stärker in die Pflicht zu nehmen.

Unabhängig von der Diskussion zum IT-Sicherheitsgesetz wurde im Roundtable des CIO-Magazins auch über die Notwendigkeit einer noch stärkeren Vernetzung der Anwenderunternehmen in Sachen Security und Cyber-Risk gesprochen. Zwar gebe es einige Initiativen in diese Richtung, aber die Zusammenarbeit sollte noch weiter intensiviert werden.

Das Cyber Security Competence Center von Voice e.V.

Hier wird der IT-Anwenderverband Voice, der für seine Mitglieder mit dem Cyber Security Competence Center bereits eine Kooperations- und Austauschplattform erfolgreich umsetzt, verstärkt aktiv und den bestehenden Sicherheitsinitiativen Unterstützung bei der übergreifenden Vernetzung anbieten.

Mobile Security – die größten Defizite der Unternehmen

Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.

Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.

Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.

In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.