TeleTrusT
Zusammenfassung des Berichts: “DACH Security 2018: Der IT-Security-Navigator”
Einleitung
Der Bericht “Der IT-Security-Navigator”, präsentiert auf der DACH Security Konferenz 2018, behandelt die wachsenden Herausforderungen der IT-Sicherheit für kleine und mittlere Unternehmen (KMUs) im Kontext von Kritischen Infrastrukturen (KRITIS) und Industrie 4.0. Mit dem zunehmenden Druck durch gesetzliche Vorgaben, wie dem IT-Sicherheitsgesetz (ITSiG) und der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-RL), sehen sich viele KMUs gezwungen, ihre IT-Sicherheitsmaßnahmen zu intensivieren, obwohl ihnen oft die nötigen Ressourcen und das Fachwissen fehlen. Der IT-Security-Navigator wurde entwickelt, um eine praxisnahe Unterstützung bei der Umsetzung dieser Anforderungen zu bieten.
Herausforderungen für KRITIS und Industrie 4.0
Die IT-Sicherheit ist in den letzten Jahren aufgrund von globalen Cyberangriffen, wie etwa der WannaCry-Attacke im Jahr 2017, stärker in den Fokus gerückt. Angriffe auf Kritische Infrastrukturen können nicht nur den Betrieb stören, sondern auch erhebliche wirtschaftliche Schäden verursachen. Besonders betroffen sind digitale Dienste und Industrieanlagen, die zunehmend vernetzt sind und somit einer erhöhten Gefährdungslage ausgesetzt sind. Die Vernetzung in Industrie 4.0 bringt eine verstärkte Abhängigkeit von funktionierenden Informations- und Kommunikationssystemen mit sich, was wiederum die Notwendigkeit effektiver IT-Sicherheitsmaßnahmen erhöht.
Rechtliche Anforderungen und der Stand der Technik
Das IT-Sicherheitsgesetz fordert von Betreibern Kritischer Infrastrukturen, dass sie technische und organisatorische Maßnahmen (TOM) gemäß dem “Stand der Technik” umsetzen. Dieser Begriff bleibt im Gesetz jedoch vage definiert, was zu Unsicherheiten bei der Umsetzung führt. Der Bericht erläutert, dass der “Stand der Technik” als ein Entwicklungsstand fortschrittlicher Verfahren und Technologien verstanden wird, der sich in der Praxis bewährt hat und von der Fachwelt anerkannt ist. Für Unternehmen bedeutet dies, dass sie aktuelle Normen und Standards heranziehen müssen, um ihre IT-Sicherheitsmaßnahmen auf einem angemessenen Niveau zu halten.
Der IT-Security-Navigator als Lösungsmodell
Der IT-Security-Navigator wurde als praxisnahes Hilfsmittel entwickelt, um KMUs bei der Umsetzung der gesetzlichen IT-Sicherheitsanforderungen zu unterstützen. Dieses Werkzeug, entwickelt vom Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) in Zusammenarbeit mit der Deutschen Kommission Elektrotechnik Elektronik Informationstechnik (DKE) im VDE, bietet eine systematische Sammlung und Aufbereitung relevanter Rechtsvorschriften und technischer Normen. Der Navigator hilft Unternehmen, die oft nicht über das nötige Fachwissen verfügen, sich im komplexen Umfeld der IT-Sicherheit zurechtzufinden und die notwendigen Maßnahmen umzusetzen.
Der IT-Security-Navigator arbeitet interdisziplinär und vereint juristische und technische Expertise. Er ermöglicht es den Nutzern, sich einen Überblick über die für sie relevanten Gesetze zu verschaffen und die darin enthaltenen unbestimmten Rechtsbegriffe praxisnah zu konkretisieren. Zudem bietet er eine laufend aktualisierte Datenbank mit Verlinkungen zu Gesetzen und Normen, die leicht zugänglich und nutzerfreundlich ist.
Herausforderungen und Ausblick
Trotz der Unterstützung durch den IT-Security-Navigator bleiben Herausforderungen bestehen, insbesondere für KMUs, die häufig weder über ausreichende technische noch juristische Ressourcen verfügen. Der Bericht betont die Bedeutung einer kontinuierlichen Weiterbildung und Anpassung der Sicherheitsstrategien an neue Bedrohungen und technologische Entwicklungen.
Der IT-Security-Navigator stellt eine wertvolle Ersthilfe dar, die KMUs eine schnellere und sicherere Umsetzung der gesetzlichen Vorgaben ermöglicht. Durch die Integration von Feedback und die laufende Verbesserung der Plattform soll die Praxistauglichkeit weiter erhöht werden. Zukünftige Erweiterungen des Navigators, wie eine mobile App und zusätzliche Suchfunktionen, sind geplant, um die Nutzerfreundlichkeit weiter zu steigern.
Fazit
Der IT-Security-Navigator ist ein wichtiges Werkzeug, das speziell für KMUs entwickelt wurde, um ihnen bei der Umsetzung komplexer IT-Sicherheitsanforderungen zu helfen. Durch die Kombination von rechtlichen und technischen Aspekten bietet er eine umfassende Unterstützung, die den Anwendern eine klare Orientierung und konkrete Handlungsempfehlungen gibt. Der Navigator leistet somit einen entscheidenden Beitrag zur Verbesserung der IT-Sicherheit in Deutschland, insbesondere im Bereich Kritischer Infrastrukturen und Industrie 4.0.
