2016 steht weniger im Zeichen des IT-Sicherheitsgesetzes als ursprünglich geplant. Im kommenden Jahr wird es nach Einschätzung der TÜV Trust IT zu durchgreifenden Veränderungen in der Security-Politik der Unternehmen kommen. Dazu gehören neue Prinzipien im Investitionsverhalten ebenso wie eine verstärkte Absicherung der Cloud-Dienste durch Zertifizierungen. Die Umsetzung des IT-Sicherheitsgesetzes wird hingegen durch deutliche Verzögerungen geprägt sein.

KRITIS: Die Sektoren Kritischer Infrastrukturen in Deutschland (Bild: Bundesamt für Sicherheit in der Informationstechnik, BSI)»Unsere Erwartungen von Anfang 2015, dass die Informationssicherheit der Unternehmen einen spürbaren Wandel vollziehen wird, hat sich im Rückblick deutlich bestätigt«, resümiert Detlev Henze, Geschäftsführer der TÜV Trust IT, die IT-Security-Entwicklungen des aktuellen Jahres. »Die wachsende Digitalisierung und eine höhere Sensibilität für die heutigen Sicherheitsgefahren haben auch im Top-Management dazu geführt, ein größeres Engagement in der Risikovorsorge zu entwickeln.«

Allerdings sei die bisherige Realisierung des IT-Sicherheitsgesetzes aufseiten der politischen Administration enttäuschend verlaufen. »So konnte das IT-Sicherheitsgesetz noch nicht bei allen KRITIS-Unternehmen als Orientierungshilfe für die Security-Strategien verwendet werden«, kritisiert Henze. Für 2016 hat TÜV Trust IT diese Security-Trends postuliert:

Anzeige

Weniger Gießkannenprinzip – zielgerichtetere Security-Ausgaben

Die Zeit ist schon länger reif dafür, dass die Unternehmen ihre Investitionen gezielter nach den tatsächlichen Sicherheitsbedrohungen einsetzen müssen. Bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht, doch längst nicht jede Security-Gefahr erzeugt die gleichen Unternehmensrisiken.

Weil sich die Investitionsbudgets für die Investitionssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, werden die Firmen im kommenden Jahr das bisherige Gießkannenprinzip vermehrt aufgeben. Stattdessen wird sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert.

Größeres Augenmerk für die Informationswertermittlung

Unternehmen weisen eine große Vielfalt an Informationen auf, die in ihrer Schutzwürdigkeit keinesfalls gleich gewichtet werden können. Während etwa die Konstruktionspläne eines Herstellers einen hohen Informationswert aufweisen, weil sie vermarktungsrelevante Innovationen in sich bergen, erzeugen operative Planungsinformationen typischerweise nur einen geringen Schaden, wenn sie in die Hand Unbefugter gelangen.

Allerdings wird erst selten eine solche Unterscheidung nach Informationswerten vorgenommen, weshalb mitunter in den Schutz weniger relevanter Daten investiert wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Insofern kommt der Informationswertermittlung eine deutlich steigende Bedeutung für die Priorisierung der Sicherheitsmaßnahmen zu.

IT-Sicherheitsgesetz wirkt langsamer als geplant

Da es bei der operativen Umsetzung des IT-Sicherheitsgesetzes bereits zu deutlichen Verzögerungen gekommen ist, wird es sich im kommenden Jahr nur für einige Teile der Wirtschaft zu einem zentralen Thema entwickeln. Nach derzeitigen Stand werden die Rechtsverordnungen für die ersten KRITIS-Sektoren (Kritische Infrastruktur) Energie, Informations- und Kommunikationstechnologie, Wasser und Ernährung bis Ende des erstens Quartals 2016 erlassen.

Anschließend beginnen die Fristen für die Umsetzung des Gesetzes, sodass sich der Realisierungsbeginn der gesetzlichen Anforderungen durch die Unternehmen mehrheitlich auf die zweite Jahreshälfte verschiebt. Da die Rechtsverordnungen für weitere KRITIS-Branchen wie Finanzdienstleistungen, Handel und Logistik sowie Gesundheit erst für den Herbst erwartet werden, wird das IT-Sicherheitsgesetz vermutlich kaum vor 2019 vollständig umgesetzt sein. (Download des KRITIS-Fortschreibungsdokument vom BSI, Bundesamt für Sicherheit in der Informationstechnik)

Informations-Sharing statt Einzelkämpfertum

Probleme in der IT-Sicherheit gehören seit jeher zu den Themen, über die Unternehmen öffentlich den Mantel des Schweigens legen. Der jeweils individuelle und abgeschottete Umgang mit den Gefahren begrenzt jedoch deutlich die Möglichkeiten, wirkungsvolle Maßnahmen zur Risikominderung zu entwickeln. Notwendig ist vielmehr ein Info-Sharing, wozu das IT-Sicherheitsgesetz aufgrund der Meldepflicht von Sicherheitsvorfällen einen Beitrag leisten wird.

Allerdings fehlt es noch an einer organisatorischen Plattform, über die Unternehmen an den generierten Informationen zu den Sicherheitsvorfällen unmittelbar partizipieren können, damit sie daraus substanzielle Rückschlüsse für die eigenen Präventionsmaßnahmen ziehen können. (Auch der IT-Security-Anbieter Palo Alto Networks empfiehlt eine solche Plattform, und bringt in diesem Fall die Cyber Threat Alliance ins Spiel.)

Zahl der DDoS-Angriffe wird sehr dynamisch steigen

Gerade erst waren der Store und die Entwicklerdienste von Apple Ziel massiver DDoS-Attacken (Distributed Denial of Service), indem die Server mit einer Unmenge an Abfragen überflutet wurden. Auch große Bankenorganisationen traf es zuletzt, indem versucht wurde, sie mithilfe von DDoS-Angriffen zu erpressen.

Solche Fälle werden im kommenden Jahr fast zur Tagesordnung gehören. Zudem wird ihre Intensität stetig zunehmen, nachdem dieses Jahr schon Angriffe mit einer Dauer von bis zu 300 Stunden festgestellt wurden.

Applikationen zunehmend Ziel der Sicherheitsattacken

Standen bislang die IT-Infrastrukturen im Mittelpunkt krimineller Cyber-Maßnahmen, so geraten immer mehr weit verbreitete Applikationen in den Fokus der Angriffe. Sie machen sich hierfür oftmals den Datenaustausch zwischen verschiedenen Business-Systemen zunutze, indem sie über Systeme mit niedrigen Sicherheitseinstellungen einsteigen und sich darüber zu den relevanteren Systemen vorarbeiten.

Dabei kommt ihnen beispielsweise entgegen, dass Unternehmen häufig zu lange benötigen, um neue Sicherheits-Patches einzuspielen.

Cloud-Zertifizierung wird zum Pflichtprogramm

Nachdem Cloud-Dienste auf dem Markt nun endgültig Fuß gefasst haben und sie nun auch in der Breite auf Akzeptanz stoßen, können sich die Unternehmen auch nicht an der damit verbundenen Sicherheitsproblematik vorbeimogeln.

Damit die Dienste nicht als sicherheitstechnische Blackbox wirken, weil beispielsweise die Prozesse, IT-Systeme und Infrastruktur des Cloud-Providers nicht transparent und differenziert dokumentiert sind oder unklare Vertragspflichten der Cloud-Provider bestehen, bedarf es ISO-basierter Zertifizierungen der Dienste.

Cyber-Versicherungen gewinnen stark an Bedeutung

Die wirtschaftlich schwer zu kalkulierenden und bis zur massiven Existenzgefährdung reichenden Konsequenzen von Sicherheitsvorfällen machen es zunehmend unabdingbar, den möglichen Eigenschaden ebenso wie Vermögensschäden Dritter abzusichern. Diese Versicherungssparte als Reaktion auf die steigende Internetkriminalität ist hierzulande noch relativ jung, wird sich aber vermutlich wie andere Versicherungsarten für Unternehmen schon bald als Selbstverständlichkeit etablieren.

Sie kann allerdings kein Ersatz für fehlendes Engagement in der Informationssicherheit sein, sondern hat nur komplementäre Funktion.