Im aktuellen IT-Sicherheitsgesetz geht es darum, die Bereiche nachhaltig zu schützen, deren Ausfall oder Beeinträchtigung durch eine Cyberattacke laut BSI-Broschüre „dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland“ haben können. Das Ziel: Man will die IT-Sicherheit und deren nachhaltige Verfügbarkeit in Unternehmen und Bundesbehörden nachhaltig erhöhen.
Letztlich will der Staat damit erreichen, dass seine Bürger zukünftig besser vor den Folgen von Cyberattacken geschützt sind. Deshalb nimmt der Gesetzgeber auch Unternehmen stärker in die Pflicht, die mit den „Kritis“-Unternehmen zusammenarbeiten. Deshalb steht auch die Hauptforderung von Anfang an im Raum: Alle Unternehmen müssen kontinuierlich an ihrer IT-Sicherheit arbeiten, damit die Digitalisierung mit ihren segensreichen Erfindungen nicht zum Albtraum wird.
Unternehmen in der Pflicht
Uns stellen sich zwei Fragen. Erstens: Wie weit ist der Staat eigentlich verantwortlich für die IT-Sicherheit in einem Unternehmen? Und zweitens: kennen die IT-Verantwortlichen eigentlich die wichtigsten gesetzlichen Vorgaben wie z. B. das IT-Sicherheitsgesetz? Das wäre zumindest eine wichtige Voraussetzung, um die hochgesteckten Zieles des Gesetzes zu erreichen.
Die vorangegangenen Ausführungen über die einschlägigen IT-Gesetze zeigen: Der Staat hat schon eine ganze Menge getan. Er gibt auch im IT-Sicherheitsgesetz Hinweise auf die sogenannten technischen und organisatorischen Maßnahmen im Stand der Technik. Und er verweist auch hier auf die dringende Einhaltung des Datenschutzes.
Die „TOM“
Wir erinnern uns. Zu den technischen und organisatorischen Maßnahmen (nicht nur laut DSGVO) gehören:
- Zutrittskontrollen (physikalische Maßnahmen gegen den Zutritt unbefugter Personen)
- Zugangskontrollen (Verhinderung der Nutzung von IT-Anlagen durch unbefugte Dritte)
- Zugriffskontrollen (Zugriff auf personenbezogene Daten nur durch authorisierte Personen)
- Integrität (Schutz der personenbezogenen Daten vor Manipulation)
- Verfügbarkeit (Schutz vor Verlust der Daten durch technische Störungen)
Technische Maßnahmen wie Verschlüsselung, Pseudonymisieren und Anonymisieren sowie der Einsatz von Signaturverfahren sollten in Ihrer Unternehmens-IT inzwischen zum Alltag gehören. (Schauen Sie sich sicherheitshalber noch einmal die Webinare des eBusiness Lotsen Berlin zum Thema „technische und organisatorische Maßnahmen“ an.)
Wichtigste Maßnahme: Konsequente Achtsamkeit und Weiterbildung
Allerdings helfen all diese technischen Maßnahmen nicht gegen die „Schwachstelle Mensch“. Denn darauf zielen die Cyberattacken wie Phishing, Emotet oder Social Hacking. Wenn Mitarbeiter E-Mails und deren Datei-Anhänge unbedarft und ungeprüft öffnen oder Zugangsdaten auf Druck an vermeintlich berechtigte Außenstehende herausgeben, dann liegt der Fehler im Management des Unternehmens. Hier hilft also nicht der Staat. Der kann lediglich mit gezielten Fördermaßnahmen vielleicht unterstützen. Aber gegen die eigentlichen Probleme gibt es einfache, wirksame Maßnahmen, die das Unternehmen selbst leisten kann: die Mitarbeiter schulen und zu mehr Achtsamkeit anhalten. Damit wäre das größte Sicherheitsrisiko gebannt.