Prävention des Ernstfalls – Erstellung und Umsetzung eines IT Sicherheits-konzeptes
Unter Berücksichtigung des jeweiligen unternehmerischen Kontextes
kann selbst die minimale Umsetzung der im IT-SiG 2.0
gestellten Anforderungen eine enorme wirtschaftliche Mehrbelastung
für Betreiber bedeuten. Eine ressourcenschonende Variante
ist es, externe Dienstleister mit der notwendigen Erfahrung
und dem technischen Know-how zu beauftragen. Welche Schritte
sollten KRITIS-Betreiber also im Vorfeld des IT-SiG 2.0 gehen?
Zunächst sollte sich jeder Betreiber die folgenden Fragen stellen:
• Wie ist das Unternehmen im Bereich der IT-Sicherheit
aufgestellt?
• Sind die Kritischen und systemrelevanten Prozesse bezüglich
der neuen Anforderungen ausreichend abgesichert?
• Was wird zusätzlich benötigt?
• Mit welchen Maßnahmen ist das geforderte Sicherheitsniveau
zu erreichen?
Ist es wirklich notwendig?
Auch wenn bisher noch nicht alle KRITIS-Betreiber die strengen
Auflagen des BSI erfüllen müssen, ist es grundsätzlich sinnvoll,
in die IT-Sicherheit zu investieren. Dabei amortisieren sich die
anfallenden Kosten schnell, bedenkt man die wirtschaftlichen
Schäden, welche ein Kritischer Vorfall nach sich ziehen würde.
Zur Absicherung ihrer Kritischen und systemrelevanten Prozesse sollten KRITIS-Betreiber deswegen frühzeitig ein Information Security Management System (ISMS) sowie eine Notfallplanung implementieren und diese fortlaufend optimieren.
Planen, umsetzen, prüfen, handeln
Die Einführung eines ISMS erfolgt nach der Plan-do-check-act-Methode (PDCA). Ein PDCA-Zyklus ist ein wirksames Vorgehen zur Optimierung von Prozessen und wird in vielen Unternehmensbereichen regelmäßig angewendet. Zur Optimierung der IT Sicherheit wird im Rahmen von Workshops und anhand einer unternehmensspezifischen Gewichtung der Säulen Vertraulichkeit, Integrität und Verfügbarkeit zunächst definiert, welche Sicherheitsniveaus erreicht werden sollen. Anschließend werden Szenarien durchgespielt, die deren Erreichen verhindern könnten. Im Anschluss werden Maßnahmen zusammengestellt, mit denen etwaige Risiken vermieden werden können. Schließlich müssen Maßstäbe zur Validierung der Methodenwirksamkeit festgelegt werden. Ein zentraler Aspekt bei allen Schritten ist der Mensch. Deswegen muss das Thema Social Engineering, also die Berücksichtigung der Mitarbeiter als potenzielle Opfer von Betrugsvorgängen, bei der Einführung eines ISMS eine zentrale Rolle spielen. Dabei müssen im ISMS klare Zuständigkeitsbereiche festgelegt werden, sodass im Ernstfall jeder weiß, was zu tun ist. Erst ganz am Ende dieser Planungsaufgaben steht die Umsetzung der Maßnahmen.
