Zum Hauptinhalt springen

Neuigkeiten von Radermacher & Partner

IT-Sicherheitslage spitzt sich auch bei kritischer Infrastruktur zu

Ein Managementsystem (ISMS) ist zwingende Basis für die Informationssicherheit, insbesondere bei Betreibern kritischer Infrastrukturen (KRITIS).

Vor kurzem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Bericht zur Lage der IT-Sicherheit in Deutschland 2022 veröffentlicht https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html.

Darin stellt das BSI fest, dass sich der Anspannungsgrad bezüglich der Bedrohungslage in Deutschland weiter verschärft hat. Dabei sind insbesondere Angriffe auf kritische Infrastrukturen ins Bewusstsein der Öffentlichkeit gerückt, beispielsweise durch gezielte Angriffe auf die Stromversorgung.

KRITIS-Betreiber müssen gemäß § 8a Abs. 3 BSIG gegenüber dem BSI alle zwei Jahre den Nachweis erbringen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Im Zwei-Jahres-Zeitraum vom 1. April 2020 bis zum 31. März 2022 wurden im Rahmen der Prüfung der turnusmäßigen Nachweise in den KRITIS-Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit (nur medizinische Versorgung), Informationstechnik und Telekommunikation sowie Wasser insgesamt 2.941 Sicherheitsmängel gefunden.

Doch auch nicht „systemrelevante“ Unternehmen sehen sich zunehmend mit Angriffen konfrontiert. Hier bleibt laut BSI „Ransomware“ ein großes Problem. Als „Ransomware“ bezeichnet man Programme, welche die Nutzung von Daten oder IT-Systemen durch Verschlüsselung verhindern und ein Lösegeld für die Entschlüsselung fordern.

Um diesen und weiteren Bedrohungen, die sich gegen einen der drei „Grundwerte“ der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) richten, zu begegnen, ist ein geplantes und organisiertes Vorgehen erforderlich. Im Bereich der Informationssicherheit meint man mit diesem Vorgehen die Einführung eines Informationssicherheitsmanagementsystems (ISMS). In einem kontinuierlichen Prozess sind Sicherheitsziele und -anforderungen an Geschäftsprozesse, Anwendungen und IT-Systeme zu bestimmen, geeignete Maßnahmen zur Absicherung zu etablieren und aufrecht zu erhalten. Dazu gehören Umsetzungsmonitorings sowie regelmäßige Überprüfungen der Aktualität und Angemessenheit der Maßnahmen.

Entscheidend beim Aufbau und der Aufrechterhaltung eines Managementsystems sind die Vorbildfunktion des obersten Managements und die Benennung eines Informationssicherheitsbeauftragten. Doch die Festlegung von Verantwortlichkeiten allein führt nicht zu einem erfolgreichen Managementsystem. Vielmehr sind zwingend die Wissensträger aus den Fachabteilungen an der Erarbeitung und Aufrechterhaltung des Systems zu beteiligen. Nur gemeinsam wird es gelingen, relevante Anforderungen zu identifizieren, umzusetzen und das System „am Laufen zu halten“.

Das Thema Informationssicherheit wird im Rahmen der Digitalisierung weiter an Bedeutung gewinnen, jedes Unternehmen ist angehalten ein eigenes Bewusstsein für das Problem der Informationssicherheit zu entwickeln und das individuelle Risikoprofil sowie die spezifischen Bedrohungslagen zu kennen.

Erst kürzlich hat sich ein Senior Consultant der Radermacher-Gruppe als IT-Grundschutz-Praktiker (TÜV) erfolgreich zertifizieren lassen, um das Thema ISMS in unserem Unternehmen weiter voranzutreiben.

Bild: von Pete Linforth auf Pixabay in den Listenansichten und Dr. Michael Specht, Informationssicherheitsbeauftragter der Radermacher & Partner GmbH