Startseite > Security > Von Kritis-Betreibern lernen

Leitlinien für die Cybersicherheit

Von Kritis-Betreibern lernen

24. Februar 2023, 7:00 Uhr | Udo H. Kalinna/wg

Mit dem IT-SiG liegt seit 2015 ein entscheidendes Gesetz vor, um Behörden und die Bevölkerung vor Cyberangriffen und deren Folgen zu schützen.

Unternehmensprozesse werden nicht nur komplexer, sie sind auch immer stärker digital gestützt. So ist die Kommunikation zwischen Maschinen inzwischen eher die Regel als die Ausnahme. Deshalb sollten sich Unternehmen in puncto Security an den Kritis-Betreibern orientieren. Das Problem: Die wachsenden Ansprüche an die Cybersicherheit überfordern viele Unternehmen.

Als die größten Herausforderungen bei der IT-Sicherheit sehen Unternehmen in Deutschland laut der IDC-Studie „Cybersecurity in Deutschland 2022“, erstellt in Zusammenarbeit mit Secunet, die Sicherheitskomplexität (27 Prozent), Datenschutz/Privacy (21 Prozent), Cybersecurity-Personal-/Fachkräftemangel (19 Prozent) und die Sicherheit von vernetzten Umgebungen (18 Prozent). Fast zwei Drittel (61 Prozent) gaben an, bereits an akutem Fachkräftemangel zu leiden oder ihn für 2023 zu erwarten. Dies führt dazu, dass Unternehmen an vielen Stellen nicht genügend in die Cybersicherheit investieren, was im Fall einer Cyberattacke gravierende Folgen haben kann. Die Bundesregierung hat das mittlerweile erkannt und mit dem IT-Sicherheitsgesetz (IT-SiG) 2.0 moderne Leitlinien für die IT-Sicherheit geschaffen. Es bietet Unternehmen Orientierungshilfe – unabhängig davon, ob sie rechtlich davon betroffen sind oder nicht.

IT-Sicherheitsgesetz: Vorbild für die Industrie

Das IT-SiG ist seit 2015 eines der entscheidenden Gesetze, mit denen die Bundesregierung Behörden und die Bevölkerung vor Cyberangriffen und deren Folgen schützen will. Mit Inkrafttreten des IT-SiG 2.0 im Jahr 2021 haben sich die Spielregeln auch für viele Unternehmen geändert, die zuvor noch nicht im Fokus standen – und sie bekamen zwei Jahre Zeit, die neuen Vorgaben umzusetzen. Zuvor waren Betreiber kritischer Infrastrukturen in den Bereichen Energie, Wasser, Ernährung, IT/TK, Transport und Verkehr sowie Gesundheit betroffen. Neu hinzugekommen sind der Sektor Siedlungsabfälle und alle sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Die im Gesetz definierten Leitlinien sollen Schaden vermeiden, indem sie Unternehmen, die essenziell für das Funktionieren der Gesellschaft sind, zur strukturellen Modernisierung ihrer Cybersicherheitskonzepte verpflichten. Angefangen bei einer durchdachten Netzwerkstruktur, die Risiken bereits von vornherein berücksichtigt, umfasst dies auch eine systematische Ordnung der Netzwerkzugänge und geeignete Mittel zur frühzeitigen Angriffserkennung.

Diese Themen und Herausforderungen sind alle auch in der Industrie bekannt. Denn die fortschreitende Automatisierung und maschinelle Kommunikation im industriellen Internet der Dinge (IIoT) stellen auch hier hohe Ansprüche an die Cybersicherheit. Doch fehlen gerade mittelständischen Unternehmen oft Know-how und Fachpersonal, um im Schadensfall vorbereitet zu sein und schnell reagieren zu können. Aus diesem Grund ergreifen sie in vielen Fällen zu wenige oder sogar gar keine Maßnahmen. Im Schadensfall hilft dann oftmals auch keine Versicherung aus, da diese ein grundlegendes Cybersicherheitsniveau voraussetzt, zu der in der Regel die Installation einer aktuellen Firewall, eine regelmäßige Datensicherung und Erstellung von Backups, individuelle Zugänge für Beschäftigte und regelmäßige Passwortänderungen zählen.

Vorteile strukturierter Cybersicherheit

Auch wenn Industrieunternehmen nicht unter die gesetzlichen Regulierungen fallen, sollten sie sich also an den geltenden Standards orientieren, die seit 2015 etabliert sind. Dies bietet gleich mehrere Vorteile:

Effektivität: Die umgesetzten Maßnahmen sind transparent, messbar und alltagserprobt. Sie basieren auf den Erfahrungen der Unternehmen, die im Verlauf mehrerer Jahre gezielt Verbesserungen an ihren Sicherheitskonzepten vorgenommen haben.

Planbarkeit: Die Maßnahmen sind für mehrere Jahre und aufeinander aufbauend strukturiert, sodass Unternehmen Budgets frühzeitig definieren und verbindlich planen können. So geraten Cybersicherheitsprojekte nicht zum „Fass ohne Boden“.
Versicherbarkeit: Cybersicherheitsmaßnahmen dienen der Risikominimierung, können jedoch keinen einhundertprozentigen Schutz bieten. Für den Schadensfall lohnt sich deshalb eine Cyberversicherung. Diese greift aber nur, wenn das Unternehmen gewisse Mindeststandards wie etablierte Best Practices und gesetzliche Vorgabe einhält.