1Jun2017

IT-Sicherheitsgesetz. Geänderte Verordnung tritt zum 01.06.2017 in Kraft

Die Änderung der KRITIS-Verordnung ist beschlossen!

Und damit ein herzliches Willkommen allen Unternehmen der Sektoren „Finanz- und Versicherungswesen“, „Gesundheit“ und „Transport und Verkehr“, die gemäß der Kriterien der BSI-KRITIS-Verordnung Teil 2 unter die Regelungen des IT-Sicherheitsgesetzes fallen – und das alternativlos, zwingend.

Sie sind seit heute dabei!

Mit Teil 1 der BSI-KRITIS-Verordnung, die seit dem 03. Mai 2017 in Kraft ist, wurden die Branchen „Energie“, „Informationstechnik und Telekommunikation“, Wasser“ und „Ernährung“ bereits eindeutig zur Einhaltung der Kriterien des IT-Sicherheitsgesetzes verpflichtet. Nun der Beschluss der Bundesregierung, die drei o. g. Branchen hinzuzufügen.

Ein wichtiger und nachvollziehbarer Schritt, hat man mit WannaCry doch erst kürzlich einen deutlichen Schuss vor den Bug erhalten – oder besser vor den ICE… man erinnere sich an die Displayanzeigen der Deutschen Bahn.

Kurzer Exkurs zur Ransomware WannaCry: Im Mai 2017 wurde diese Schadsoftware für einen schwerwiegenden Cyber-Angriff genutzt. Durch eine Sicherheitslücke im Windows-Betriebssystem gelangte die Software auf die befallenen Rechner und verschlüsselte bestimmte Benutzerdateien, die mutmaßlich nur gegen Zahlung eines Lösegeldes in Form von Bitcoins wieder entschlüsselt werden würden. Falls das Lösegeld nicht entrichtet werde, drohte der dauerhafte Verlust der Daten.

Es ist nicht bestätigt, dass die Zahlung des Lösegeldes auch zur Entschlüsselung geführt hat. Letztlich gestoppt wurde die Schadsoftware dank der Aufmerksamkeit und Umtriebigkeit eines IT-Experten der, wie Medien übereinstimmend berichten, im Code von WannaCry eine Art Notausschalter entdeckt hat – eine Notbremse, die durch die kriminellen Programmierer offenbar ausdrücklich vorgesehen war…

Kommen wir nun zurück zu den neuen KRITIS-Sektoren, die sich mit den Regelungen des IT-Sicherheitsgesetzes zeitnah (und besser gestern, als heute) auseinandersetzen müssen.

WannaCry hatte bei Systemen, die mit Virenschutz und allen aktuellen Security-Patches des Windows-Betriebssystems ausgestattet waren, keine Chance – einfachste Deduktion lässt den Schluss zu, dass bei allen betroffenen Unternehmen dies nicht gegeben war, deutlicher Handlungsbedarf besteht und die Regelegungen des IT-Sicherheitsgesetz keine Anwendung gefunden haben.

Ein nach ISO 27001 zertifiziertes Managementsystem für Informationssicherheit (ISMS) ist ein vertrauensbildender und wirksamer Schritt in die richtige Richtung und stellt ebenfalls ein Kriterium dar, dass Unternehmen des KRITIS-Sektors bis Januar 2018 („Energie“, „Informationstechnik und Telekommunikation“, Wasser“ und „Ernährung“) zwingend vorweisen müssen.
Die Branchen „Finanz- und Versicherungswesen“, „Gesundheit“ und „Transport und Verkehr“ müssen diese Zertifizierung bis Juni 2019 nachweisen.
Bedenkt man die Dauer der ISMS-Projektierung, des notwendigen Wirkbetriebs zum Erhalt der ersten ISMS-Nachweise und der Zertifizierungsdauer bis hin zur Entscheidung, besteht allerhöchster Handlungsbedarf.

Nehmen Sie mit uns Kontakt auf und lassen sich zum Zertifizierungsprozess rund um die ISO 27001 von unseren Repräsentanten informieren.

Und sollte in Ihrem Unternehmen noch kein ISMS bestehen, stellen wir gern zu unseren bewährten Partnern Verbindung her, die Sie kompetent und umfassend beraten und im Projekt an die Hand nehmen.

Denn Eines ist gewiss: der nächste Angriff kommt unausweichlich auf uns alle zu.

Und diese Bedrohung hat dann vielleicht keinen Notaus-Knopf mehr!

 

Link zur offiziellen Pressemeldung des BSI:

https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/news_IT-Sicherheitsgesetz_Aenderung_KRITIS-Verordnung_beschlossen_31052017.html

Login to your Account