BSI-Kongress zur IT-Sicherheit: „Keiner kann sagen, dass er nicht gewarnt ist“

Grassierende Sicherheitslücken, unwillige Hersteller, ignorante Benutzer – beim Kongress des Bundesamts für Sicherheit in der Informationstechnik herrschte Katerstimmung. Mit neuen Kooperationen und vereinfachten Vorgaben will das Amt Rückstände aufholen.

Das BSI warb beim 14. Deutschen IT-Sicherheitskongress in Bonn um mehr Zusammenarbeit mit der Wirtschaft. Angesichts der bescheidenen Erfolge der Vorjahre zeigte sich BSI-Präsident Michael Hange zur Eröffnung des Kongresses mit zirka 600 Teilnehmern bescheiden. „Das Thema der Stunde ist Risikomanagement“, sagte der Behördenleiter. So müsse man lernen mit der Unsicherheit in bestimmten Bereichen umzugehen, da man sie nicht beseitigen könne. Zwar lobte Hange eigene Projekte wie die Allianz für Cyber-Sicherheit, der mittlerweile über 1200 Institutionen und Firmen angehören. Doch noch sind solche Initiativen weit davon entfernt eine Trendwende bei der Sicherheit zu schaffen.

Insbesondere kleine und mittelständische Unternehmen sollten endlich ihre IT- Sicherheit in den Griff bekommen, um den Angreifern kein allzu leichtes Spiel zu machen. Aus diesem Grund reformiert das BSI seinen IT- Grundschutz. Das Werk, das Unternehmen und Behörden vermitteln soll, wie sie ihre IT-Abläufe sicher gestalten können, ist seit Beginn 1994 von einem schmalen Aktenordner auf ein Konvolut mit mehreren Tausend Seiten Umfang angewachsen – grade für kleinere Unternehmen ist dies eine abschreckende Menge an Aufgaben.

Grundschutz für Kleine

„Wenn wir in die Breite gehen wollen, müssen wir den IT-Grundschutz skalieren“, erklärte der zuständige BSI-Abteilungsleiter Hartmut Isselhorst. Das heißt: In Zukunft soll der IT-Grundschutz anfänger- und managerfreundlicher werden. Statt Bausteinen mit mehreren Hundert Seiten Text soll in Zukunft zu jedem Thema eine zehnseitige Zusammenfassung reichen, um die Geschäftsführung über alle notwendigen Maßnahmen zu informieren. Die technischen Details können die mit der Umsetzung beauftragten Experten aus den weitergehenden Dokumentationen beziehen.

Gleichzeitig wird der IT-Grundschutz dreigegliedert. In einem einfach gehaltenen Katalog von Erstmaßnahmen sollen Unternehmen erfahren, wie sie zumindest grob fahrlässige Fehler vermeiden können ohne sich in große Kosten zu stürzen. Ein zweiter Bereich umfasst den Basisschutz, der ein normales Sicherheitsniveau sicherstellen soll. Unternehmen und Behörden mit besonderen Anforderungen an Datensicherheit erhalten zudem Informationen über „Hochschutzmaßnahmen“, die allerdings mehr empfehlenden Charakter haben. Die neue Version des IT-Grundschutzes soll ab kommenden Jahr zur Verfügung stehen.

Um die Botschaft an die Firmen weiterzutragen setzt das BSI auf neue Kooperationen mit Branchenverbänden. Diese könnten aus den unterschiedlichen vom BSI bereitgestellten Bausteinen Pakete schnüren, um zum Beispiel Krankenhäusern oder Cloud-Anbietern geeignete Empfehlungen zukommen zu lassen. Diese Sicherheitshinweise könnten langfristig auch juristische Konsequenzen haben. So sollen im IT-Sicherheitsgesetz, das derzeit vom Bundestag beraten wird, ein Mindestniveau an IT-Sicherheit vorgeschrieben werden – allerdings erst für die Betreiber kritischer Infrastrukturen. Kritiker befürchten, dass diese Vorschriften per Erlass auf weitere Branchen ausgeweitet werden könnten.

Read more

Blog English, Cyber Security, Industry Updates & News