Coming soon ... IT Summit by heise

Cyber-Sicherheitsstrategie: Welche Cyber­sicherheits­­strategie am besten greift

Jedes Unter­nehmen, jede Behörde, jeder Staat braucht eine eigene Cyber­sicherheits­strategie. Das ist gut so, kann aber nur funktio­nieren, wenn die IT-Sicher­heit ab­gestimmt und ganz­heitlich aus­gelegt ist. In einer ver­netzten Welt sind Allein­gänge fatal. Die über­greifende Strate­gie heißt: koordinieren.

Handlungs­rahmen mit gemein­samem Ziel

Von Oliver Schonschek

Die Bundes­regierung hat die „Cyber-Sicher­heits­strategie für Deutsch­land 2016“ beschlossen, so eine Meldung des Bundes­innen­ministeriums. Abgesehen davon, dass diese Meldung etwas spät im Jahr kommt und die Datierung daher etwas unglück­lich erscheint, gab es bereits einiges an Lob und Kritik. Zweifel­los ist zu begrüßen, dass sich die Bundes­regierung dem so wichtigen Thema wieder ange­nommen hat. Nicht jeder ist aber mit dem Ergeb­nis völlig zufrieden.

Die vom Bundeskabinett beschlossene neue Cybersicherheitsstrategie sei aus Sicht der Internet-Branche zwar ein in vielen Punkten substanzieller Ansatz für mehr IT-Sicherheit, sie schaffe aber auch neue Unklarheiten, zum Beispiel in Bezug auf den künftigen Umgang mit Verschlüsselungstechniken, so der Verband der Internetwirtschaft eco.

Der Handlungsbedarf ist höher als je zuvor

Der ebenfalls veröffentlichte Lagebericht 2016 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie das Internet der Dinge oder Industrie 4.0 bieten Cyberangreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Keine Frage, eine Cyber­sicherheits­strategie ist nicht Kür, sondern Pflicht.

Jeder Staat, jede Behörde, jedes Unternehmen, ja jeder einzelne Nutzer muss sich genau überlegen, wie sie oder er mit der zunehmenden Cyber­bedrohung umgehen will und umgehen muss. Es gibt hier keine Patent­rezepte, sondern Leitlinien und Standards, die auf Basis der individuellen Risiko­analyse anzuwenden sind. Trotzdem ist es wichtig, dass Cyber­sicherheit als großes Ganzes gesehen wird, dass die Maß­nahmen ineinander­greifen, in der eigenen Organisation und im Austausch mit anderen (gutartigen) Organisationen. Es ist nicht hilfreich, wenn man versucht, IT-Sicherheit nur aus dem eigenen Blick­winkel zu sehen, denn IT bedeutet heute immer auch Vernetzung.

Bitte mehr Miteinander und weniger Alleingänge

Während es beim Datenschutz vorgesehen ist, dass die Bundesländer eigene Datenschutzgesetze und Aufsichtsbehörden haben, ist dies in der IT-Sicherheit (bisher) nicht der Fall. Trotzdem hat in Bayern der Finanz- und Heimatminister Dr. Markus Söder angekündigt: „Bayern gründet als erstes Bundesland ein eigenes Landesamt für IT-Sicherheit. Bis 2025 sollen in Nürnberg bis zu 200 IT-Sicherheitsspezialisten Bayerns IT noch sicherer machen – insbesondere auch unseren Bayern-Server und das bayerische Behördennetz“. Das Ziel dabei: „Durch enge Kooperation mit der Wissenschaft und der bayerischen IT-Sicherheitsindustrie wird sichergestellt, dass ein schlagkräftiges und hochmodernes Hacker-Abwehrzentrum in Bayern entsteht“, so Söder.

Nun ist gegen Maßnahmen für die IT-Sicherheit nichts zu sagen, im Gegenteil. Wichtig ist jedoch der Hinweis, dass sich IT-Sicherheit immer grenzüberschreitend verstehen muss. IT Security kennt keine Bundesländergrenzen. „Nur durch gut koordiniertes und globales Handeln ist es möglich, dem Fehlen von physischen Grenzen in der digitalen Welt entgegenzuwirken und die Cyber-Sicherheit im nationalen und globalen Kontext zu verbessern“, betont der Cyber-Sicherheitsrat Deutschland e.V.

Klare Zuständigkeiten müssen sein

Deshalb empfiehlt es sich in der IT-Sicherheit, innerhalb von Organisationen die IT-Sicherheitsmaßnahmen genau abzustimmen und zu koordinieren – das gilt ebenso für Nationalstaaten mit ihren Bundesländern bzw. Regionen. Jedes Unternehmen, jede Behörde und jede Organisation sollte deshalb die eigenen Cyber­sicherheits­pläne entwickeln und die Anknüpfung an die größeren, übergeordneten Cyber­sicherheits­strategien versuchen. Dies hilft zum einen dabei, mögliche Lücken in der Planung zu schließen, und es verhindert Reibungsverluste.

Nicht ohne Grund warnt zum Beispiel der eco-Verband vor einem Strategie-Overload anlässlich der Verabschiedung der neuen Cybersicherheitsstrategie. Genauso kann und sollte man vor einem organisatorischen Overload in der IT-Sicherheit warnen, wenn immer mehr Behörden für die IT-Sicherheit zuständig werden. Mehr ist nicht immer automatisch besser, es sei denn, es handelt sich um Abstimmung und koordiniertes Vorgehen. Das gilt auch für Unternehmen, die sich über die Zuständigkeit für IT-Sicherheit ganz genau bewusst sein müssen. Besteht hier Unklarheit, kommt es zu widersprüchlichen Regeln oder aber zu einem Mangel an Richtlinien, denn jeder glaubt dann, dass es der andere schon mache.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links