Ein Projekt vom

Institut für Internet-Sicherheit

Jetzt für den Master bewerben!

Förderer

Partner

Live-Hacking

   

securityNews

Aktuelle Sicherheitsupdates

Aktuelle IT-Sicherheitslage

info    Gefahr durch Schwachstellen
info    Malware-Aktivität
info    Spam-Aktivität
Stand: 20.08.2017, 04:08Uhr

Expertenkommentar

Prof. Norbert Pohlmann

Institut für Internet-Sicherheit – if(is)

„Professionelle Hacker sind immernoch in der Lage, unsere Systeme anzugreifen. Wir haben zu viele Fehler in der Software, worüber man erfolgreich hacken kann. Außerdem ist Malware eines der größten Probleme, das wir haben. Der Schutz vor Malware ist nach wie vor ungenügend. (...)“ [mehr]

NIS: Das europäische IT-Sicherheitsgesetz

Die Bundesrepublik Deutschland hat bereits 2015 eigenständig das IT-Sicherheitsgesetz (IT-SiG) verabschiedet und damit frühzeitig das umgesetzt, was auf Europaebene bereits seit 2013 diskutiert wird: eine Richtlinie zum Schutz von IT-Infrastrukturen. Das IT-SiG gilt heute als Vorbild und Grund für Deutschland als gesicherten Standort. Zweifelsohne bleibt aber der Schutz von IT-Infrastrukturen europaweit mindestens genauso wichtig. Unter dem Namen NIS (Network and Information Security) wurden daher Vorschläge inhaltlich von der EU-Kommission verabschiedet und sollen nun in eine verbindliche EU-Richtlinie mit Gesetzescharakter umgewandelt werden. Für deutsche Unternehmen, die sich nach dem IT-SiG eingerichtet und beispielsweise bereits ein ISMS eingeführt haben, ändert sich nach aktuellem Stand dadurch kaum etwas.

 

Aufatmen: Wie wichtig der Schutz von IT-Infrastrukturen und Informationen ist, wurde auch in Europa erkannt. Das IT-SiG ist damit kein deutscher Regulierungswahn. Es steckt viel mehr dahinter. Denn das Ziel von NIS ist, nach Vorbild des IT-SiG kritische Infrastrukturen in der EU zu ermitteln und deren Schutz zu definieren. Auch die betroffenen Branchen sind die gleichen. Das ist eine gute Nachricht für deutsche Unternehmen: Sie befürchteten doppelten Aufwand, wenn sie ISMS zuerst nach dem IT-SiG und später nach NIS einführen müssten. Es ist aber auch eine gute Nachricht für europaweit arbeitende Unternehmen, die nun keine deutschen „Extrawürste“ braten müssen.

 

Verantwortlich als europäische Zentrale beziehungsweise Kooperationsstelle wird die ENISA (European Network and Information Security Agency) sein. Analog zum deutschen BSI koordiniert sie die Umsetzung, Aktivitäten sowie Vorfälle und ruft gegebenenfalls europaweite Maßnahmen aus. Die ENISA wird sich dazu anders aufstellen müssen. Wie viele Ressourcen dazu allerdings benötigt werden, ist noch unklar. Ebenso ungewiss ist, welche Befugnisse ENISA über die jeweiligen Landesbehörden wie zum Beispiel das BSI haben wird.

 

Fest steht indes ein erster NIS-Zeitplan. Dieser sieht vor, dass mit Rechtsgültigkeit des Gesetzes die jeweiligen EU-Staaten 21 Monate für ihr eigenes nationales IT-Sicherheitsgesetz haben. Das beinhaltet Beschluss, Verabschiedung und Inkrafttreten. Diesem durchaus straffen Zeitansatz kann Deutschland durch das bestehende IT-SiG zunächst entspannt entgegensehen. Vorausgesetzt, die ENISA beschließt nicht doch völlig Neues. Anschließend werden den Mitgliedern sechs Monate eingeräumt, um KRITIS-Unternehmen zu definieren und zu ermitteln.

 

Nicht alles ist regulierbar

 

Diese Festlegung kann nur in Eigenregie erfolgen. Denn einige Punkte sind durch NIS gar nicht regulierbar. Das Werk kann unter anderem keine absoluten Zahlen europaweit definieren. Zum Beispiel die Reichweite von 500.000 Bürgern, welche die deutsche KRITIS-Verordnung als Merkmal für KRITIS-Unternehmen in der ersten Stufe festlegt. In Ländern mit geringerer beziehungsweise geballterer Bevölkerungsdichte macht solch eine Zahl keinen Sinn.

 

Wichtig dagegen ist zu beschließen, dass die landeseigene Definition der Spezifika für kritische Infrastrukturen überwacht oder zumindest gegengeprüft wird. Das ist noch nicht vorgesehen. Jedoch soll durch NIS der Schutz von IT-Infrastrukturen nicht mehr nur dem Eigeninteresse der Länder dienen. Der Fokus rückt auf den der Schutz Europas als Bündnis, weshalb den Ländern im Konsens festgelegte Richtlinien zu allen wesentlichen Aspekten an die Hand gegeben werden müssen. Die Festlegung, kritische Infrastrukturen zu kontrollieren, ist dabei ebenso entscheidend, wie die Umsetzung der Maßnahmen zum Schutz der IT.

 

Als Fazit bleibt daher: Im Rahmen ihrer Cyberstrategie drehen sich die Räder der EU derzeit schnell. Deutschland hat durch seine kluge Vorausarbeit dabei Zeit gewonnen. Wer in Deutschland bereits ein ISMS gemäß IT-SiG eingerichtet und gegebenenfalls zertifizieren lassen hat, kann zunächst durchatmen. Das wird voraussichtlich auch eine der Voraussetzungen von NIS sein. Natürlich kann die ENISA bestimmte Inhalte anpassen, ändern oder neu hinzufügen. Da das IT-SiG jedoch als Vorbild für NIS gilt, werden das nach aktuellem Stand keine gravierenden Änderungen sein. Falls andere organisatorische oder technische Maßnahmen doch notwendig sein sollten, bleibt wahrscheinlich ein Gros der Voraussetzungen durch das IT-SiG erfüllt.

 

Markus Schäfer, Geschäftsführer SecuRisk GmbH

 

 

Datum: 11.04.2017
Die News wird bereitgestellt von: itsicherheit-online.com