Datenschutzkonforme IT-Sicherheitslösungen sollten spätestens jetzt auf den Weg gebracht werden

Die jüngsten Vorfälle in englischen Kliniken haben gezeigt, wie schnell eine Sicherheitslücke in der IT kritischer Infrastrukturen zu Versorgungsengpässen in der Bevölkerung führen kann. Der vor ein paar Tagen getroffene Beschluss der Bundesregierung zu strengeren Sicherheitsauflagen für weitere Versorgungsbranchen dürfte daher kaum in Frage gestellt werden.

Kiel – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt künftig Versorgungsunternehmen für besonders gesellschaftsrelevante kritische Infrastrukturen (KRITIS) noch stärker in die Pflicht. Am 31. Mai beschloss die Bundesregierung den zweiten Teil der Rechtsverordnung zur Umsetzung des IT-Sicherheitsgesetzes.

Weitere Branchen von BSI-KRITIS-Verordnung erfasst
Damit unterliegen nun auch größere Betreiber kritischer Infrastrukturen (KRITIS) aus den Branchen Gesundheit, Finanzen und Versicherungen, Transport und Verkehr verschärften IT-Sicherheitsauflagen. Nach § 8a BSIG müssen diese innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit nachweisen und den Schutz von Daten in sämtlichen ihrer Leistungsprozesse gewährleisten.

Wie genau der zukünftig regelmäßig zu meldende Standard und Nachweis für dessen Einhaltung zu gewährleisten ist, ist nur grob definiert. In jedem Fall müssen IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ eingesetzt und dem BSI als zentralem Ansprechpartner gemeldet werden. Das BSI hat dazu einen Forderungskatalog veröffentlicht. Ein belastbares Informationssicherheitsmanagement-System (ISMS) ist angeraten, um dauerhaft die Auflagen erfüllen zu können – im schlimmsten Fall Bußgelder zu vermeiden. Es sollte jedoch nicht als notwendiges Übel gesehen werden, sondern als Chance auf die Generierung neuer Mehrwerte.

Informationssicherheitsmanagement als Mehrwert nutzen
Ein modernes ISMS kann anhand von Logfiles Daten aus allen gewünschten ´Ecken´ eines Unternehmens nutzbar machen. Lösungen, die nicht nur als einzelnes SIEM (Sicherheitsinformations- und Ereignismanagement) einsetzbar sind, sondern als Plattform operieren, sind in der Lage, sämtliche IT-Prozesse abzubilden. Abweichungen werden so umfassend erfasst. Dadurch gelingt es, Datenströme nicht nur abzusichern. Positiver Doppelnutzen ist die Tatsache, dass anhand der gesammelten Daten diese nun auch im Hinblick auf die jeweils gewünschten Kriterien optimiert werden können. Maschinen- oder Computerausfälle können so beispielsweise vermieden und in ihrer Performance verbessert werden. Ein weiteres Einsatzszenario ist das Vorausdenken von Kundenverhalten, um Geschäftsprozesse besser anzupassen. Den Unternehmen steht damit ein Instrument zur Hand, ihre Pflichten nachweislich erfüllen zu können und gleichzeitig Mehrwerte in ihre Arbeitsabläufe einzubinden.

Für die Betreiber kritischer Infrastrukturen spielte das Thema Datensicherung bereits in den Landesdatenschutzgesetzen eine wichtige Rolle. Durch den zweiten Teil der BSI-KRITIS-Verordnung auf Basis des IT-Sicherheitsgesetzes und die anstehende EU-Datenschutzgrundverordnung erhält dieses eine noch stärkere Bedeutung. In deren Folge werden Datenschutz-Auflagen und Sanktionen bei Nichteinhaltung deutlich verschärft. Ab welcher Größenordnung Unternehmen der jeweiligen Branchen von dieser Neuregelung betroffen sind, setzen die sogenannten Schwellenwerte des BSI fest.