Kritis
Im Juli 2015 trat ein IT-Sicherheitsgesetz in Kraft, welches zum Ziel hat die IT-Sicherheit bei Unternehmen mit Kritis und der Bundesverwaltung zu verbessern.
Neben einer erhöhten Sicherheit der verwendeten Systeme soll gleichzeitig ein verbesserter Schutzmechanismus für Bürgerinnen und Bürger im Internet eingeführt werden.
Zum Ende des Jahres 2020 wurde ein neuer Entwurf für das IT-Sicherheitsgesetz 2.0 vom Kabinett beschlossen. Welche Neuerungen auf Sie zukommen könnten, lesen Sie hier.
Welche Bedeutung hat der Begriff Kritis?
Unter dem Sammelbegriff Kritis, welcher stellvertretend für ‚Kritische Infrastrukturen‘ steht, werden eine Vielzahl an Basisdiensten für unsere Gesellschaft zusammengefasst.
Diese Leistungen und Systeme werden als Basisdienste bezeichnet, da sie essenziell für unser modernes Leben sind und ohne sie beispielsweise Versorgungsengpässe und weitere Störungen auftreten würden.
Zu den kritischen Strukturen in Deutschland zählen Einrichtungen und Organisationen aus den Fachgebieten Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.
Welche Rolle spielt der Kritis-Sektor Informationstechnik und Telekommunikation?
Hochmoderne und technologische Staaten nutzen die Dienstleistungen der Informationstechnik und Telekommunikation um die Funktionen von Wirtschaft, Gesellschaft und Staat aufrechtzuerhalten.
Dazu zählen neben älteren Methoden wie Fax und Telefonie auch die modernen Kommunikationswege wie Internet und Satelliten zum Zweck der Informationsverarbeitung und -verbreitung. Ferner gehören zu diesem Kritis-Sektor auch die Verwaltung und Übertragung von Daten.
Mit der stetig zunehmenden Technologisierung unserer Welt werden auch immer mehr Prozesse und Abläufe mit Hilfe von Computern und anderen Technologien überwacht und gesteuert.
Deshalb ist es umso wichtiger, dass die Telekommunikations- und Informationstechnik-Dienstleistungen kontinuierlich ausgebaut und verbessert werden.
Was bedeutet Kritis für Unternehmen und wer gehört dazu?
Nach dem IT-Sicherheitsgesetz wird von Betreibern kritischer Infrastrukturen verlangt, dass sie Ihre Systeme effektiv schützen und auftretende Risiken melden. Doch woran erkennen Sie, dass Ihr Unternehmen zu Kritis gehört?
Sollte Ihr Unternehmen in die Kategorie der UP Kritis integriert sein, wissen Sie dies bestimmt schon längst, da Sie diese Mitgliedschaft beantragen müssten. Zur UP Kritis gehören Organisationen, welche mit Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen kooperieren.
Ferner sind von diesem Sicherheitsgesetz Unternehmen der Telekommunikation und des Onlinehandels betroffen. Besonders für Betreiber von Angeboten im Internet gelten durch das IT-Sicherheitsgesetz erhöhte Anforderungen zum Schutz der Kundendaten und der verwendeten IT-Systeme.
Durch die Definition von messbaren Kriterien und Schwellenwerten ist seit 2016 nachvollziehbar wer alles zu Kritis gehört. Dennoch können Sie als Mittelständler auch vom IT-Sicherheitsgesetz betroffen sein, selbst wenn Ihre Organisation nicht zu einer kritischen Infrastruktur zählt. Es kann sein, dass Ihre Kunden von Ihnen als Zulieferer oder Dienstleister verlangen, die geforderten Sicherheitsregelungen ebenfalls umzusetzen.
Einen ersten Überblick über die nach dem IT-Sicherheitsgesetz wichtigen Themen geben die Broschüre oder der FAQ. Sollten Sie weitere Fragen haben sprechen Sie uns gerne an.
Was müssen Webshop Betreiber nach dem IT-Sicherheitsgesetz beachten?
Mit der Gesetzgebung soll verhindert werden, dass Nutzer beim Surfen in Ihrem Webshop mit Trojanern oder anderen Viren infiziert und wichtige Daten gestohlen werden. Die umzusetzenden Maßnahmen sollen dabei den Stand der Technik berücksichtigen und wirtschaftlich zumutbar bleiben. Doch was genau bedeutet das?
Aktuelle Software, Hardware und Umsetzungskonzepte
Sie als Anbieter von Telemediendiensten müssen Methoden anwenden, die sowohl unerlaubte Zugriffe auf Ihre eigene technische Infrastruktur als auch Störungen im Betrieb verhindern. Eine Möglichkeit hierfür stellt das regelmäßige und zeitnahe Aufspielen von Softwareupdates und veröffentlichten Sicherheitsaktualisierungen dar.
Zusätzlich müssen Sie Softwareprodukte verwenden, für die der Herstellersupport garantiert ist und Ihre Berechtigungs- und Organisationskonzepte im Webshop sinnvoll umsetzen. Zudem ist der Einsatz von effektiven Firewalls und Verschlüsselungsprogrammen zu empfehlen.
Ferner wird von Ihnen erwartet, dass Sie Risikoanalysen durchführen um die Wirtschaftlichkeit und die Effektivität Ihrer Maßnahmen zur Datensicherheit begründen können.
Datenschutz
Aber auch der Schutz von personenbezogenen Kundendaten gehört zu Ihrem Aufgabenbereich. Sie müssen ein gesichertes Verfahren bereitstellen, welches die Daten verschlüsselt übermittelt und für Hacker nicht nutzbar macht. Je nach Datenumfang und Sensibilität der Informationen kann das geforderte Schutzniveau unterschiedlich hoch ausfallen.
Sollten Sie sich nicht an die neue Gesetzgebung halten und veraltete oder unsichere Techniken verwenden, können Bußgelder von bis zu 20 Millionen Euro auf Sie zukommen. Für Unternehmen sind sogar bis zu vier Prozent des weltweiten Jahresumsatzes als Strafgebühr denkbar.
Ihre Ansprüche an Hosts
Als Kunde von Providerdiensten haben Sie dank dem IT-Sicherheitsgesetz gleichzeitig auch neue Ansprüche an Ihren Host.
Der Telekommunikationsdienst-Anbieter muss Sie umgehend benachrichtigen, wenn Störungen innerhalb des Systems bekannt werden und gegebenenfalls Hilfsmittel zur Problembeseitigung bereitstellen.
Welche Neuerungen kommen mit dem Ende 2020 beschlossenen Entwurf zum IT-Sicherheitsgesetz 2.0?
Grundsätzlich möchte der Staat mit den neuen Maßnahmen mehr Sicherheit im World Wide Web schaffen und die Widerstandsfähigkeit von Kritis-Unternehmen und anderen Organisationen in Deutschland stärken.
- Verbesserung des Verbraucherschutzes - Mit Hilfe eines einheitlichen IT-Sicherheitskennzeichens sollen die IT-Sicherheitsfunktionen von vertriebenen Softwares für die Verbraucher besser verständlich gemacht werden.
- Betreiber von Kritis werden verpflichtet, Systeme zur Angriffserkennung zu verwenden.
- Bisherige Kritis-Meldepflichten gelten künftig auch für Organisationen, welche von besonderem öffentlichen Interesse sind. Dazu zählen beispielsweise die Rüstungsindustrie, Unternehmen mit hoher volkswirtschaftlicher Wertschöpfung oder auch Institutionen, auf die die Störfallverordnung bereits zutrifft.
- Der Einsatz von kritischen Komponenten mit Zertifizierungspflicht kann durch den Staat künftig untersagt werden. Ebenso werden die Bußgeldvorschriften diesbezüglich neu ausgelegt.
Warum sollten Sie Immerce Consulting beauftragen?
Wie Sie diesem Beitrag schon entnehmen konnten, ist das Thema der IT-Sicherheit ein sehr umfangreiches, welches einen großen Auslegungsspielraum bietet.
Unsere Agentur beschäftigt sich schon lange mit diesem Aufgabenbereich und konnte viele Erkenntnisse und Know-How über die vergangene Zeit sammeln. Durch die TÜV-Zertifizierung unserer kompetenten Berater können Sie sich sicher sein, dass wir immer auf dem aktuellen Stand der Technik operieren und Sie bestmöglich beraten.
Neben IT-Sicherheitsthematiken beschäftigen wir uns auch ausgiebig mit dem Aufgabenbereich des Datenschutzes und können Ihnen damit ein Komplettpaket im Sinne der Kritis-Beratung anbieten. Werfen Sie dazu gerne einen Blick auf unser Leistungsangebot.
Sollten Sie fragen haben, nehmen Sie gerne telefonisch oder über unser Nachrichtenformular Kontakt zu uns auf.