Bundespolitiker sowie ein Vertreter des BSI und weitere Experten referierten auf dem IT-Sicherheitstag 2015 der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA.
Auf dem IT-Sicherheitstag der TÜV TRUST IT Mitte November 2015 in Bergisch Gladbach ist von den Experten die große Bedeutung des IT-Sicherheitsgesetzes nachdrücklich bestätigt worden. Neben ausgewiesenen Security-Experten hatten dort auch Innen- bzw. Sicherheitspolitiker des Bundestages wie Wolfgang Bosbach und Clemens Binninger teilgenommen.
In welcher Bedrohungslage sich Deutschland derzeit durch Cyber-Angriffe befindet, machen verschiedene Zahlen deutlich. So erfolgen täglich etwa fünfzehn komplexe Attacken auf die IT-Netze der Bundesregierung und es werden jährlich etwa 200.000.000 neue Schadsoftware-Varianten im Internet verbreitet. Aber auch dass die DDoS-Angriffe deutlich zunehmen, „Cybercrime as a Service“ zu einem eigenen Wirtschaftszweig geworden ist oder Software-Monokulturen gegenüber professionellen Attacken zu wenig geschützt sind, gehört zu den vielfältigen aktuellen Erscheinungen.
Sie begründen nach Ansicht der Experten auf der Fachveranstaltung einen umfassenden Handlungsbedarf und damit auch die Notwendigkeit des IT-Sicherheitsgesetzes, zumal Deutschland gegenwärtig von allen Industrienationen am wenigsten in die Informationssicherheit investiert. „Es ist vermutlich nicht einmal notwendig, das Aufwandsvolumen zu steigern, sondern die Investitionen müssen zielgerichteter eingesetzt werden statt wie derzeit noch sehr häufig nach dem Gießkannenprinzip zu verfahren“, urteilt in diesem Zusammenhang Detlev Henze, Geschäftsführer der TÜV TRUST IT.
Die Realisierung der Vorgaben des IT-Sicherheitsgesetzes verzögert sich nach den Erkenntnissen des IT-Sicherheitstages allerdings. Zwar sollten ursprünglich alle KRITIS-Unternehmen bis 2017 adäquate Sicherheitsverhältnisse nachweisen. Bisher sind diese Firmen jedoch noch nicht für alle KRITIS-Sektoren identifiziert und auch die entsprechenden Rechtsverordnungen liegen noch nicht vor. Erwartet wird, dass diese für die ersten KRITIS-Sektoren Energie, Informations- und Kommunikationstechnologie, Wasser und Ernährung bis Ende des erstens Quartals 2016 erlassen werden. Die betreffenden KRITIS-Unternehmen müssen dann innerhalb von sechs Monaten ihre Meldestelle gegenüber dem BSI einrichten. Außerdem sind sie verpflichtet, innerhalb einer zweijährigen Frist ihre IT nach dem Stand der Technik abzusichern. Die Rechtsverordnungen für weitere KRITIS-Sektoren (Finanzdienstleistungen, Handel und Logistik sowie Gesundheit) werden etwa ein halbes Jahr nach den ersten Rechtsverordnungen erwartet.
„Diese Verzögerungen sind insofern sehr bedauerlich, da ein sehr akuter Bedarf an einer höheren Transparenz bei Sicherheitsvorfällen besteht“, gibt Henze die Aussagen mehrerer Experten auf der Veranstaltung wieder. „Die Meldepflicht von Sicherheitsvorfällen stellt ein zentrales Element des Sicherheitsgesetzes dar, weil damit die bisher fehlende Informationsgrundlage geschaffen wird, um systematische Präventionen aus dem Angriffsverhalten ableiten zu können. Die auf diesem Wege gewonnenen Erkenntnisse dienen auch den Unternehmen, um ihre eigenen Sicherheitsmaßnahmen zu stärken.“
Der IT-Sicherheitstag wurde gemeinsam mit dem örtlichen Rotary Club durchgeführt. Er erhielt auch die Einnahmen aus den Teilnehmerbeiträgen als Spende für seine Gemeindienstarbeit.