Das Bundesamt für Informationssicherheit (BSI) listet über 40 Gefährdungen für Daten auf: Darunter fallen Phishing, Feuer oder der Verlust von Geräten. Durch IT-Sicherheit sollen nicht nur Hackerangriffe abgewehrt werden, sondern es soll gewährleistet werden, dass Daten jederzeit verfügbar sind, dabei vertraulich bleiben und korrekt sind. Nicht nur sogenannte kritische Infrastrukturen sind gesetzlich verpflichtet, für eine sichere IT-Infrastruktur zu sorgen. Die Sorgfalt eines ordentlichen Geschäftsmannes umfasst auch Maßnahmen im Bereich der IT-Sicherheit und trifft damit alle Unternehmen. Doch auch unabhängig von gesetzlichen Verpflichtungen und Bußgeldern können Systemausfälle zu Schadensersatzforderungen der Vertragspartner führen. Daher sollten Unternehmen die im Folgenden aufgeführten Maßnahmen beachten.
Mit wenigen Maßnahmen viel IT-Sicherheit erreichen
-
Schwachstelle Mensch: Der Mensch ist die größte Schwachstelle in der IT-Infrastruktur. Auch weil es zunehmend schwerer wird, IT-Systeme zu hacken, haben sich Hacker mit Phishing-Attacken und Social Engineering bewusst auf den Faktor Mensch fokussiert. Für Angreifer ist es einfacher, Mitarbeiter telefonisch als vermeintlicher IT-Fachmann nach dem Passwort zu fragen, als hochkomplexe Firewalls zu durchdringen. Ebenso ist das Versenden von gefälschten E-Mails mit kompromittierenden Anhängen, Links oder der Aufforderung, sein Passwort einzugeben, mit vergleichsweise geringem Aufwand verbunden. Solche Aktionen sind für einen Großteil der IT-Vorfälle verantwortlich. Unternehmen sollten daher unbedingt ihre Mitarbeiter schulen, um derartige Attacken zu erkennen. Um immer über aktuelle Hacker- und Phishing-Attacken informiert zu sein, können Unternehmen einen Newsletter (bspw. von Heise) abonnieren, um ihre Mitarbeiter zu sensibilisieren und vorzuwarnen.
-
Aktuelle Software: Eine weitere große Sicherheitslücke sind Systeme, die nicht über die aktuelle Software verfügen. Dies fängt bei regelmäßigen Sicherheitsupdates für Betriebssysteme an, aber auch Netzwerkswitche, WLAN Access Points und sonstige Hardware verfügen über Software, die immer auf dem aktuellen Stand sein sollte. Dabei ist es wichtig, den „End of Life“-Zeitpunkt im Blick zu haben: Viele Hersteller bieten Support nur für einen begrenzten Zeitraum an. Wenn nach 10 Jahren für ein Produkt keine Updates mehr entwickelt werden, muss sich ein Unternehmen frühzeitig um Ersatz kümmern, um einen lückenlosen Schutz zu gewährleisten.
-
Informationssicherheitsmanagement: Ferner ist es ratsam, ein Informationssicherheits-Managementsystem (ISMS) zu implementieren. Darin gibt sich ein Unternehmen selbst Regeln zum Umgang mit Dokumenten, Endgeräten und vielem mehr. Ein Aspekt wäre beispielsweise, wer wann Zugriff auf welche Dokumente hat: Muss der IT-Administrator alle Dokumente lesen können? Und wer überprüft, dass dem Trainee, welcher viele Abteilungen durchläuft, später die Zugriffsrechte für einzelne Bereiche wieder entzogen werden? ISMS bedeutet für viele Unternehmen vor allem organisatorische Maßnahmen und Bürokratie: Wie werden Eingriffe in die Systeme dokumentiert? Welche Schritte sind bei einem Sicherheitsvorfall einzuleiten und wem muss ein Vorfall gemeldet werden?
-
IT-Sicherheitsbeauftragter: Es ist ratsam, einen Mitarbeiter zum IT-Sicherheitsbeauftragten zu ernennen, der Maßnahmen zur IT-Sicherheit einführt, die Umsetzung überwacht und ständig den Status überprüft. Wichtig zu wissen: Solange die Zuständigkeit für IT-Sicherheit in keiner Stellenausschreibung ausdrücklich erwähnt wird, liegt die Verantwortung für die IT grundsätzlich bei der Geschäftsleitung.
- IT-Sicherheitskonzept: Schlussendlich ist es in jedem Fall besser, irgendetwas zu unternehmen, als gar nichts zu tun. Der Gedanke an ein umfassendes IT-Sicherheitsprojekt lässt viele Unternehmen vor den damit verbundenen Kosten und dem Aufwand zurückschrecken. Allerdings handelt fahrlässig, wer im Zeitalter der Digitalisierung keinen Gedanken an IT-Sicherheit verschwendet. Es empfiehlt sich, in einem ersten Schritt eine Risikoanalyse vorzunehmen und die wichtigsten Systeme zu bestimmen. Bei der Erstellung eines IT-Sicherheitskonzepts würde man sich zunächst auf diese Prozesse und Risiken konzentrieren.
Das Bundesamt für Informationssicherheit bietet auf seiner Homepage umfangreiche Informationen, die es ermöglichen, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Dieser sogenannte IT-Grundschutz besteht aus den IT-Grundschutz-Standards und dem IT-Grundschutz-Kompendium. Darüber hinaus hat der BWE ein Hintergrundpapier zur Umsetzung von IT-Sicherheitsanforderungen speziell für die Windbranche herausgebracht und arbeitet an einer Orientierungshilfe.
Pflichten für Betreiber mit mehr als 420 MW Netto-Nennleistung
Ein großflächiger und andauernder Stromausfall hätte fatale Folgen für unsere zunehmend elektrifizierte Welt. Terroristische Angriffe auf unser Stromnetz gehören zu den ernstzunehmenden Gefahren in der heutigen Zeit. Dies hat auch die Bundesregierung erkannt und deshalb kritische Infrastrukturen definiert, welche gesetzlich verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Ferner müssen sie die Einhaltung dieser Pflicht alle zwei Jahre gegenüber dem BSI nachweisen. In der Windbranche sind insbesondere Betriebsführer, Direktvermarkter als Betreiber virtueller Kraftwerke oder Wartungsunternehmen von diesen Pflichten betroffen, wenn sie mehr als 420 MW Netto-Nennleistung in ihrem Portfolio vereinen und die Möglichkeit haben, die Windenergieanlagen zu steuern.
Aussitzen lohnt nicht!
Die Zahl der Betreiber, die als kritische Infrastruktur gelten, könnte künftig deutlich steigen. Dies geht aus dem Entwurf für ein neues IT-Sicherheitsgesetz hervor. Demzufolge würden bald auch Hersteller kritischer Komponenten als kritische Infrastruktur gelten. Ferner könnte sich die Schwelle von 420 MW noch deutlich reduzieren. Da Zertifizierungen häufig mehr als ein Jahr in Anspruch nehmen, sollten Unternehmen rechtzeitig Maßnahmen ergreifen.
Ein Aussitzen lohnt sich künftig auch nicht mehr, da die Bußgelder deutlich erhöht werden sollen: Verstöße können laut Gesetzesentwurf bald mit bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes geahndet werden.