Cyber Security: Von der Best Practice zur Verordnung

01. April 2021

Sicherheit, die jeden betrifft

Symbolbild Cyber Security
Cyber Security rückt immer mehr in das Augenmerk der gesamten Bevölkerung.

Der Begriff Cyber Security ist noch relativ jung und bis dato nicht eindeutig definiert. In der Vergangenheit als „Informationssicherheit“ oder „IT-Sicherheit“ bezeichnet, hat sich der Begriff mittlerweile für sämtliche Bereiche im Zusammenhang mit der Sicherheit von Computern, Daten und Prozessen sowie Resilienz eingebürgert. Während früher vorwiegend Fachleute in den IT-Abteilungen diesem Thema ihre Aufmerksamkeit schenkten, ist es in jüngster Zeit in das Augenmerk eines größeren Teils der Bevölkerung gerückt. Regelmäßige Medienberichte, die die Auswirkungen von Cyberangriffen sowohl für Unternehmen als auch für Privatpersonen sichtbarer machen, verstärken noch zusätzlich das Interesse an Cyber Security: Kaum jemand kann sich noch so glücklich schätzen, nie mit Schadprogrammen in Berührung gekommen zu sein, manch eine und einer musste sich bereits mit einem Cryptolocker herumschlagen und sowohl Unternehmen als auch Privatpersonen werden Opfer von Cyberbetrug und tragen Verluste davon.

Dringlichkeitsstufe: hoch – ein Thema von länderübergreifendem Interesse

Cyber Security endet jedoch nicht damit, Betriebe und Individuen vor Verschlüsselungstrojanern oder vereinzelten Datenschutzverletzungen zu bewahren. Wenn Sicherheitslücken die kritische Infrastruktur beeinträchtigen oder weitläufige Konsequenzen haben, wie es in den Cyberangriffen mittels Ransomware in der jüngeren Vergangenheit der Fall war, erhält die Bedeutung von Cyber Security eine wirtschaftliche und gesellschaftliche Dimension. Cyberangriffe, die die Gesellschaft an neuralgischen Punkten treffen, erweitern den Kreis der Geschädigten weit über das direkt betroffene Unternehmen hinaus. Energieversorger, die ihre KundInnen nicht mehr mit Strom oder Gas beliefern können, Banken, die kein Bargeld ausgeben können, Krankenhäuser, deren PatientInnen aufgrund nicht funktionierender Infrastruktur sterben, – all diese Szenarien infolge von Cyberangriffen wurden bereits Realität. Vor diesem Hintergrund erachten es GesetzgeberInnen zunehmend für notwendig, Cyber Security aus dem ausschließlichen Verantwortungsbereich der betroffenen Unternehmen und Einrichtungen zu holen. Regierungen setzen sich zunehmend mit den Risiken im Netz auseinander, die weit über die Bedrohung einzelner Betriebe hinausgehen und der Regulierung bedürfen.

Ransomware erfordert Cyber Security
Betroffenheit weit über den Unternehmensbereich hinaus: Ransomware hat sogar schon Todesopfer gefordert.

Cyber Security und die Europäische Union

Als Folge dieser Überlegungen entstand die erste EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die im August 2016 in Kraft trat. Diese erste EU-Richtlinie zum Thema Sicherheit im digitalen Raum verpflichtet Unternehmen der kritischen Infrastruktur (die sogenannten „Betreiber wesentlicher Dienste“) dazu, eine Reihe an Sicherheitsauflagen im Internet zu erfüllen: Zum einen sind angemessene, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu treffen, zum anderen müssen gravierende Sicherheitsvorfälle an eine staatliche Behörde (die „NIS-Behörde“) gemeldet werden. Im internationalen Vergleich kam diese EU-Initiative verhältnismäßig spät. In den USA gibt es schon seit langem entsprechende Gesetze, wie etwa den Health Insurance Portability and Accountability Act (HIPAA – Vertraulichkeit medizinischer Informationen) aus dem Jahr 1996, den 1999 verabschiedeten Gramm-Leach-Bliley Act und den Homeland Security Act (Heimatschutzgesetz) aus dem Jahr 2002, der auch den Federal Information Security Management Act (FISMA – Bundesgesetz zur Verwaltung von Informationssicherheit) umfasst. Diese drei Gesetze schreiben Gesundheitsorganisationen, Finanzdienstleistern und Bundesbehörden den Schutz ihrer Systeme und ihnen anvertrauter Informationen vor.

Bild einer Tastatur mit Lupe als Zeichen für Augenmerk auf Cyber Security
In den USA schon länger in Kraft, gibt es seit 2016 auch in der EU Richtlinien, die den Schutz der Systeme und Informationen von Unternehmen regeln. Foto © CC0 Licence

Erweiterung des Radius von Cyber Security -Verordnungen

Alle diese Gesetze und Verordnungen sind auf bestimmte kritische Bereiche beschränkt: Banken, den Gesundheitssektor, Telekommunikation etc. Die immer ausgeklügelteren Cyberangriffe der letzten Jahre haben jedoch gezeigt, dass es zu kurz greift, Cybersicherheit ausschließlich den Führungsetagen systemrelevanter Betriebe zu überantworten. Auch andere Sektoren werden immer öfter zum Ziel von Angriffen. Zudem sind kleine und mittlere Unternehmen das Rückgrat jeder Volkswirtschaft. Mit dem Schutz des digitalen Binnenmarkts als erklärtem Hauptziel der Cyber Security -Strategie der Europäischen Union vor Augen wurde bald klar, dass Cyberhygiene auch auf die digitalen Sektoren ausgeweitet werden muss. Die von der ursprünglichen NIS-Richtlinie umfassten Bereiche werden daher bei der nächsten Überarbeitung des Gesetzestexts um Sektoren und Dienstleister ergänzt werden, ohne die gesellschaftliche und wirtschaftliche Schlüsselaktivitäten im Binnenmarkt nicht erbracht werden können. Diese Ausweitung und Harmonisierung der Zielgruppen werden den Geltungsbereich der europäischen Netzwerk- und Informationssicherheitsrichtlinie deutlich vergrößern. Im Zuge der Überarbeitung werden auch Sicherheitsauflagen konkretisiert und ausgeweitet: Betroffene Einrichtungen werden dazu verpflichtet, angemessene und verhältnismäßige technische und organisatorische Maßnahmen gegen die Bedrohung der Sicherheit ihrer Netzwerke und Informationssysteme zu ergreifen, die dem neuesten Stand der Technik entsprechen und auf das spezifische Risiko zugeschnitten sind. Das Ziel ist das Propagieren von Mindestsicherheitsstandards in einem weiten Teil unserer auf Informationssicherheit basierenden Gesellschaft, um widerstandsfähigere Ökosysteme sowohl auf nationaler als auch auf europäischer Ebene zu schaffen.

Eigene Aufsicht für Zahlungsdienstleister und Banken

Ungeachtet dieser Änderungen werden Betriebe, die kritische Infrastruktur bereitstellen, weiterhin einer besonderen Aufsicht unterstellt. Zu den am stärksten regulierten Sektoren zählen die Finanzdienstleister: Sie sind nicht nur von der NIS-Richtlinie umfasst, sondern unterliegen auch der Zahlungsdienste-Richtlinie 2, die spezifische Sicherheitsauflagen für Zahlungsdienstleister und Banken im Allgemeinen definiert. Aus diesem Grund stellt diese Richtlinie auf europäischer Ebene die erste „lex specialis“ dar: Branchenspezifische Bestimmungen trumpfen hier die NIS-Auflagen, da sie vergleichbar oder strenger sind. Doch selbst für den Finanzsektor kündigen sich neue und potentere Cyber Security -Auflagen an, konkret in Form des Rechtsakts zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) für den Finanzsektor. Dieser Rechtsakt zielt auf eine weitere Harmonisierung von Sicherheitsbestimmungen und eine Stärkung der Betriebsstabilität von Finanzdienstleistern ab.

Bild von Bankgebäuden
Einer der am stärksten reglementierten Sektoren ist mir Sicherheit der der Finanzdienstleister. Foto © CC0 Licence

Tendenz zu stärkerer Standardisierung

Sicherheitsmängel bei Produkten und Dienstleistungen stellen nach wie vor die Achillesferse der digitalen Sicherheit dar. Unzureichend gesicherte digitale Produkte und Dienste sind eine Hauptursache von Angriffen im Cyberspace. Sicherheitslücken dieser Art erleichtern es Cyberkriminellen, ihrem illegalen Handwerk nachzugehen. Vor diesem Hintergrund verabschiedete die Europäische Kommission 2019 den Rechtsakt zur Cybersicherheit, mit welchem erstmals ein EU-weiter Rahmen für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen geschaffen wurde. Zudem erteilt der Rechtsakt der EU-Cybersicherheitsagentur ENISA ein dauerhaftes Mandat für die Ausarbeitung eines möglichen europäischen Schemas für die Cybersicherheitszertifizierung, in welchem die Bedingungen für die zukünftige Zertifizierung von Produkten, Dienstleistungen und Prozessen auf drei Vertrauenswürdigkeitsstufen („niedrig“, „mittel“ und „hoch“) festgelegt werden sollen. Derzeit sind diese Zertifizierungen noch freiwillig, die Kommission hat jedoch bereits ihre Absicht bekundet, in Zukunft ein verpflichtendes Regime zur Förderung von Sicherheitsmindeststandards anzustreben.

Schlussfolgerungen

Generell lässt sich der Trend, Cyber Security -Auflagen durch entsprechende Gesetze und Verordnungen verpflichtend zu machen und dabei den Kreis betroffener Unternehmen zu erweitern, beobachten. Auch wenn Cyber Security und Resilienz vor dem Hintergrund der potenziell gravierenden Auswirkungen von Cyberangriffen ein wichtiges Anliegen für jeden Betrieb sein sollten, der Technologien einsetzt (und wer tut das heutzutage nicht), ist vorauszusehen, dass es in diesem Bereich in Zukunft weniger Wahlmöglichkeit geben wird. Verordnungen und Auflagen werden in absehbarer Zeit auch in weiteren Branchen und Sektoren Einzug halten und auch KMU direkt oder im Rahmen der Lieferketten von Betreibern wesentlicher Dienste zu entsprechenden Vorkehrungen verpflichten. Wer das Thema Cyber Security bisher noch nicht am Radar hatte, ist gut beraten, dies schleunigst zu ändern.

Wenn Sie mehr über das Thema Cyber Security und Cybercrime erfahren wollen, klicken Sie bitte hier.

Seite teilen