Für das neue IT-Sicherheitsgesetz liegen noch keine Ausführungsbestimmungen vor. Das hat bei vielen Anwenderunternehmen für Versunsicherung gesorgt. Besonders der vielzitierte „Stand der Technik“, den Unternehmen bei ihren Sicherheitsanstrenungen zu berücksichtigen haben, muss stärker definiert werden. Das hat jetzt der Bundesverband IT-Sicherheit (TeleTrust) versucht. Der hauptsächlich von Mitgliedern der IT- und IT-Security-Branche getragene Verband hat eine „Handreichung“ publiziert, die den „Stand der Technik, transparent machen will.
Der jeweilige Schutzbedarf ist abhängig von der jeweiligen Anwendung. Gemäß IT-Sicherheitsgesetz müssen die IT-Sicherheitsziele Integrität, Authentizität, Verfügbarkeit bzw. Vertraulichkeit betrachtet werden, auch wenn Sie ggf. für die einzelne Abbildung mit unterschiedlichem Schutzbedarf bewertet werden. Dies bedeutet, dass vor allem folgende Schutzziele zu berücksichtigen sind:
- Schutz vor Angriffen zum unberechtigten Mitlesen, Ändern, Löschen von übermittelten und gespeicherten Daten
- Schutz vor Angriff auf Verfügbarkeit der jeweiligen Dienste und Daten beim Betreiber und Nutzer
- Schutz des Betriebs- und Anwendungssystemen vor unberechtigten Manipulationen, usw. Zudem muss neben der Realisierung angemessener Schutzmaßnahmen auch das Erkennen von Angriffen auf IT-Systeme, -Dienste und Daten nach dem Stand der Technik gewährleistet werden. Die Funktionalität zur Umsetzung der gewünschten IT-sicherheitstechnischen Anwendung muss stets vollständig und korrekt umgesetzt sein. Dies sollte von einem unabhängigen Prüfer nachvollziehbar geprüft worden sein. Die Umsetzung muss dabei stets fortschrittliche Verfahren berücksichtigen. Dies sind beispielsweise:
- 2-Faktor-Authentisierung
- gegenseitige Authentisierung
- Verschlüsselung der Kommunikation während des Transports 13
- Verschlüsselung der Daten (z.B. bei der Speicherung)
- Sicherung des privaten Schlüssels vor unberechtigten Kopieren
- Einsatz von sicheren Boot-Prozessen
- Sichere Software-Administration einschl. Patch-Management
- Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit
- Sichere Abbildung von Netzwerkzonen zum zusätzlichen Schutz auf Netzwerk-Ebene
- Sichere Daten-Kommunikation zwischen unterschiedlichen Netzwerkzonen
- Sicheres Internet-Browsen
- Umsetzung des Need-To-Know-Prinzips
- Umsetzung des Minimal-Ansatzes (einschl. Härtung)
- Umsetzung von Logging-, Monitoring-, Reporting- und Response-Management-Systemen
- Umsetzung von Malware-Schutz
- Einsatz von sicheren Backup-Systemen zur Sicherung vor Verlust von Daten
- Mehrfache Auslegung der Systeme zur Umsetzung von Hochverfügbarkeit, etc.
Klar ist, dass ein Verband von IT-Anbietern, Anwenderunternehmen nicht erklärt, dass sie nichts tun müssen, um dem Sicherheitsgesetz zu entsprechen. Allerdings geben die oben aufgeführten Punkte und die gesamte Handreichung einen vertieften Eindruck dessen, was vor allem auf KRITIS-Unternehmen zu kommt.
Tomasz Lawicki, Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“: „Durch das ITSiG sind Unternehmen („KRITIS“ und „Nicht-KRITIS“) gefordert, ihre Sicherheitsmaßnahmen im Hinblick auf die Aktualität und Wirksamkeit zu überprüfen. Die TeleTrusT-Handreichung zum Stand der Technik unterstützt Unternehmen dabei, den Zustand der Sicherheitsmaßnahmen realistisch einzuschätzen und gegebenenfalls. Nachbesserungen abzuleiten und trägt dadurch branchenübergreifend zur Erhöhung der Informationssicherheit bei.“
TeleTrusT beteiligt sich mit dem Arbeitskreis „Stand der Technik“ an der inhaltlichen Ausgestaltung des IT-Sicherheitsgesetzes und begleitender Regelungen. Der Arbeitskreis hat die Zielsetzung, aus Sicht der IT-Sicherheitslösungsanbieter und -berater den betroffenen Wirtschaftskreisen Handlungsempfehlungen und Orientierung zu geben. Gleichzeitig sind sich die Autoren dessen bewusst, dass es sich aufgrund der schnelllebigen Entwicklung der IT-Sicherheitslösungen um dynamische Inhalte handelt. Zugleich ist die Handreichung auch ein fachliches Angebot an den Gesetz- und Verordnungsgeber, zu den abstrakt-generellen Rahmenvorschriften komplementäre, konkrete und prüfbare Angaben zur Verfügung zu stellen.
Teletrust stellt die Handreichung zum kostenlosen Download bereit.