Voice e.V. nimmt Stellung
Das IT-Sicherheitsgesetz im Urteil der CIOs
- Der Datenverkehr muss transparenter geregelt werden, um den Missbrauch von Datenverbindungen zu erschweren
- Es fehlen Regelungen, um die Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking und Spionage zu verbessern
- Software- und Service-Anbieter sollten stärker in gesetzliche Regelungen zur Cyber-Security eingebunden werden; zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwenderunternehmen
- Voice fördert die Vernetzung der Anwenderunternehmen in Sachen Security und Cyber-Risk
Die rund 20 anwesenden CIOs und Top-IT-Entscheider bewerten das im Juli in Kraft getretene Gesetz zurückhaltend positiv. Zum einen lenke es endlich verstärkt Aufmerksamkeit auf den Bereich Cyber-Crime und trage so zu einem strikteren Vorgehen gegen Cyber-Kriminalität bei. Zum anderen wiesen die CIOs auf noch zu konkretisierende Rechtsverordnungen in dem Gesetz hin, in denen unter anderem genau festgelegt wird, in welchem Rahmen und mit welchen Auswirkungen Unternehmen und Organisationen der sogenannten kritischen Infrastruktur (Kritis) angehören, die Sicherheitsvorfälle an das Bundesamt für Informationssicherheit melden müssen.
Über die spezifischen Inhalte des Roundtables wurde aufgrund des sehr sensiblen Themas Vertraulichkeit vereinbart. Doch VoiceVoice, der Bundesverband der IT-Anwender e.V. nimmt zum IT-Sicherheitsgesetz Stellung. Alles zu Voice auf CIO.de
IT-Sicherheitsgesetz ist dringend notwendig
Voice begrüßt das IT-Sicherheitsgesetz als einen ersten, dringend notwendigen Schritt. Es schafft die Grundlage für Standort- und Rechtssicherheit. Allerdings sollten möglichst zügig die entsprechenden Rechtsverordnungen formuliert und in Kraft gesetzt werden, damit das Gesetz nicht Hülle bleibt, sondern tatsächlich mehr Sicherheit schafft.
Das IT-Sicherheitsgesetz konzentriert sich in seiner heute vorliegenden Form praktisch ausschließlich auf die Verpflichtung der Unternehmen im Bereich kritischer Infrastrukturen (Kritis), bestimmte Sicherheitsstandards für ihre IT-Systeme zu gewährleisten und bei gravierenden Sicherheitsvorfällen diese den Behörden zu melden. Voice unterstützt dieses Vorgehen als einen ersten, dringend notwendigen Schritt.
Opferschutz und Vertraulichkeit
Eine dringende Präzisierung des Gesetzes bzw. der zugehörigen Rechtsverordnung betrifft jedoch die Details zum Opferschutz bzw. zur Gewährleistung der Vertraulichkeit von Ereignismeldungen. Dies ist eine zwingende Voraussetzung für das Entstehen einer ausreichenden Vertrauensbasis zwischen Unternehmen und Behörden und somit für die Akzeptanz und Wirksamkeit des Gesetzes.
Damit ein solches Vertrauen wachsen kann, muss genau geregelt werden, was die Behörden mit den Meldedaten im Einzelnen tun dürfen und wie sie sie schützen, so dass die durch Online-Kriminelle ohnehin schon geschädigten Unternehmen nicht noch Reputationsschäden erleiden. Als Vorbild sollten hier die geltenden Regelungen aus dem Strafrecht herangezogen werden.
Keine Regelungen für Internetdienstleister
Der vorliegende Gesetzentwurf beschränkt sich auf den Selbstschutz der Kritis-Unternehmen im Cyber-Raum, enthält jedoch keinerlei Regelungen zum Verhalten von Internetdienstleistern und zur Kommunikation im Internet. Das im Gesetz geforderte, hohe Schutzniveau ist für die Unternehmen nur dann zu vertretbaren Kosten darstellbar, wenn darüber hinaus allgemeine Regelungen zum Datenverkehr verabschiedet werden.
Missbrauch von Datenverbindungen
Voice fordert Regelungen zur Transparenz des Datenverkehrs. Um den Missbrauch von Datenverbindungen zu erschweren, muss die Verwendungen von Datenprotokollen und Verbindungsarten stärker reglementiert werden. So gibt es bislang keinerlei gesetzliche Einschränkungen zur Nutzung von Datenports, obwohl die derzeitigen Firewallkonzepte hierauf aufbauen.
- Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten. - 1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern. - 2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet. - 03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist. - 4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt. - 5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.