Neue digitale Sicherheitskultur

Sicherheit für kritische Infrastrukturen und innovative Cyber-Abwehr sind für Unternehmen und den Public Sektor gefragter denn je.

Die  Digitalisierung und Vernetzung, das Internet der Dinge, Industrie 4.0 und die zunehmende Mobility bieten Cyber-Angreifern vielfältige Möglichkeiten, Informationen auszuspähen, Geschäftsprozesse zu sabotieren oder sich unter Einsatz von Malware und damit verbundener erpresserischer Datenverschlüsselung kriminell zu bereichern.

Täglich werden rund 380 000 neue Schadprogrammvarianten entdeckt, die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist explosionsartig um 1 270 Prozent angestiegen. Wie Frau Merkel bemerkte, werden Cyber-Angriffe zum Alltag gehören.

Klassische Abwehrmaßnahmen reichen nicht mehr aus

Unternehmen aller Branchen,  kritische Infrastrukturen, Forschungseinrichtungen, Ver­waltung und Bürger sind es, auf die sich Angreifer mit flexibel einsetzbaren Angriffsmitteln und -methoden fokussieren. Konsequenzen aus bereits erfolgten Angriffen sind teils verheerend und verdeutlichen, wie verwundbar eine digitalisierte Gesellschaft ist.  Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte. Hinzu kommen die gesetzlichen Vorgaben, wie das 2015 eingeführte IT-Sicherheitsgesetz, das um Sicherheitsanforderungen an sogenannte „Kritische Infrastrukturen“ noch ergänzt wurde. Es gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind. Das bedeutet, diese Risiken zu identifizieren, analysieren und bewerten. Um darauf aufbauend die Erstellung eines ganzheitlichen Sicherheitskonzeptes zu ermöglichen. Das beinhaltet nicht nur die eingesetzten Technologien, sondern auch organisatorische Maßnahmen, wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder konzeptionelle Aspekte, wie etwa Mindestanforderungen für bestimmte Sicherheitsmerkmale zu definieren.

Kritische Infrastrukturen müssen branchenspezifische Mindeststandards erfüllen, wozu insbesondere die Einführung eines ISMS zählt. Hilfestellungen gewähren die kostenfreien IT-Grundschutz-Kataloge des BSI. Eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern. Weiterhin müssen große Unternehmen und solche der „kritischen Infrastruktur“ relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden.

Durch das IT-Sicherheitsgesetz wurden außerdem weitere Gesetze wie z. B. das Energiewirtschaftsgesetz geändert. Durch die Änderung des Energiewirtschaftsgesetzes werden sämtliche Strom- und Gasnetzbetreiber verpflichtet, den IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen und ein ISMS einzuführen.

ISO 27001

Als Standard für Managementsysteme der Informationssicherheit hat sich die ISO-Norm 27001 zur Umsetzung und Kontrolle von gesetzlichen Vorgaben hinsichtlich Informationssicherheit und Datenschutz etabliert. Bei der Verwendung von Informationssystemen müssen proaktiv Schutzmaßnahmen und Schutzmethoden ergriffen werden, um mögliche Bedrohungen und Schwachstellen bestenfalls vorab zu verhindern oder auf ein überschaubares Risiko zu minimieren.
Die Zukunft ist vernetzt und mobil, mit immer mehr Schnittstellen zwischen Mensch, System und Maschine, national und global. Das bedeutet, dass wir ein sicheres und vertrauenswürdiges Ökosystem vom kleinsten Sensor bis zum Benutzer benötigen. Eine Absicherung der Systeme kann nur unter Einbezug sämtlicher Beteiligter, also Hersteller, Systemintegrator, Betreiber der Anlagen sowie der Öffentlichkeit, gleichermaßen gewährleistet werden.
Der Einsatz aktueller Schutzmechanismen, die Verfügbarkeit, Verbindlichkeit und Authentizität gewährleisten, wird von zunehmender Bedeutung sein. Techniken zur Verschlüsselung, Authentifizierung und Autorisierung auf Basis biometrischer Verfahren und hochleistungsfähiger Kryptografie-Methoden werden zum Standard avancieren.