Das letzte Jahr zeigte, dass in Sachen IT-Sicherheit noch großer Nachholbedarf besteht – bei Privatpersonen ebenso wie bei Unternehmen. Millionen geklaute E-Mail-Adressen, ein Hackangriff auf Sony und einer auf ein Stahlwerk – das waren nur einige Meldungen über Cyber-Kriminalität im vergangenen Jahr. Um zumindest die Unternehmen besser vor digitalen Angriffen zu schützen, plant die Bundesregierung entsprechende IT-Sicherheitsstandards einzuführen.

Mehr Schutz durch IT-Sicherheitsgesetz

Im Dezember 2014 stellte die Bundesregierung ihr „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ vor. Das IT-Sicherheitsgesetz soll gewährleisten, dass künftig Angriffe auf IT-Systeme schneller erkannt und abgewehrt werden können. Es soll insbesondere einen besseren Schutz solcher Unternehmen bewirken, die Teil der sogenannten kritischen Infrastruktur sind. Hierzu gehören Unternehmen, die wichtige Funktionen des staatlichen Gemeinwesens übernehmen, also z.B. Energie und Trinkwasser bereitstellen oder zur Gesundheitsversorgung gehören. Solche Unternehmen sind laut IT-Gesetz künftig verpflichtet, IT-bedingte Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Auf diese Weise soll eine Beeinträchtigung der Infrastruktur durch Cyber-Kriminelle verhindert werden. Das BSI soll zudem die Umsetzung des IT-Sicherheitsgesetzes kontrollieren. Neben einer Meldepflicht von Störungen beinhaltet das Gesetz auch eine Reihe von branchenunabhängigen und branchenspezifischen IT-Sicherheitsmaßnahmen. So müssen die Anbieter kritischer Infrastruktur Sicherheits- und Notfallkonzepte vorweisen und alle umgesetzten Maßnahmen dokumentieren. Zudem werden die Unternehmen regelmäßig auf IT-Sicherheitsmängel überprüft. Unter das Gesetz fallen schätzungsweise 2000 Unternehmen.

IT-Sicherheit auch für andere Unternehmen wichtig

Aber auch Unternehmen, die nicht zur kritischen Infrastruktur zählen, sollten sich um den Schutz ihrer IT-Systeme kümmern. Gelangen geheime Geschäftsinformationen durch einen Hack-Angriff an die Öffentlichkeit, kann dies einen enormen finanziellen Schaden verursachen. Ein guter Schutz vor externen Hackangriffen und Malware bieten Log & Event Manager (LEM). LEM-Programme analysieren in Echtzeit, ob im Netzwerk, der Hardware und in den Computeranwendungen Störungen auftreten. So können Unternehmen sofort reagieren und entsprechende Gegenmaßnahmen einleiten. Ob per Gesetz oder auf freiwilliger Basis, der Schutz von IT-Systemen kostet zunächst einiges an Geld. Welche Investitionen durch das IT-Sicherheitsgesetz auf die Unternehmen zukommen, steht gegenwärtig noch nicht fest. Der finanzielle Schaden, der durch Cyber-Kriminalität entsteht, ist jedoch oft wesentlich höher als die notwendigen Investitionen in Schutzmaßnahmen.