Neue Rechtsverordnung spezifiziert IT-Sicherheitsgesetz
Betreiber kritischer Infrastrukturen müssen auf moderne Authentifizierungslösungen aufrüsten
Berlin, 8. März 2016. Im Juli 2015 ist das deutsche IT-Sicherheitsgesetz in Kraft getreten. Im Februar dieses Jahres wurde nun ein Rechtsverordnungsentwurf veröffentlicht, der erstmals definiert, wer von dem neuen Gesetz betroffen ist und somit künftig IT-Sicherheitsvorfälle melden muss.
IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen
Das IT-Sicherheitsgesetz ist darauf gerichtet, die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürger im Internet zu verbessern. Diesbezüglich enthält die Verordnung Anforderungen an die IT-Sicherheit sogenannter kritischer Infrastrukturen. Das sind Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie die Bereiche Energieversorgung, Verkehr, Gesundheitswesen sowie Banken und Versicherungen. „Viele IT-Angriffe könnten bereits durch Standardsicherheitsmaßnahmen abgewehrt werden“, erklärt Mark Rüdiger, Business Development Manager der OpenLimit SignCubes GmbH ( www.openlimit.com ). Die Betreiber kritischer Infrastrukturen sind daher mit dem neuen Gesetz verpflichtet, IT-Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden und so einen eigenen Beitrag zur deutschen IT-Sicherheit zu leisten.
Starke Authentifizierungstechnologien unumgänglich
Unter Einhaltung des Standes der Technik müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse getroffen werden, die maßgeblich zur Funktionsfähigkeit der betriebenen Infrastrukturen beitragen. „Laut BSI lässt sich über nationale oder internationale Standards wie DIN oder ISO ermitteln, was zu einem bestimmten Zeitpunkt als Stand der Technik definiert ist. In Deutschland sind hier vor allem die IT-Grundschutzkataloge des BSI zu beachten. Eine dieser State-of-the-Art-Lösungen ist beispielsweise die Authentifizierungstechnologie truedentity ( www.truedentity.de ), die auf der zertifizierten Technologie und Infrastruktur des deutschen Personalausweises basiert und so auf ein bewährtes Datenschutz- und Datensicherheitskonzept für digitale Identitäten setzt“, konkretisiert Rüdiger.
Die IT-Grundschutzkataloge empfehlen für sicherheitskritische Anwendungsbereiche eine starke Authentisierung, die mindestens zwei Authentifizierungsfaktoren kombiniert, wie Passwort plus Chipkarte oder den Einsatz biometrischer Identifikationsmerkmale. „Eine Ein-Faktor-Authentifizierung aus Benutzername und Passwort bietet eine attraktive Angriffsfläche für Identitätsdiebstahl. Auch komplizierte Passwörter können mit speziellen Programmen geknackt werden und sind daher als sehr unsicher einzuschätzen“, sagt der IT-Sicherheitsexperte. Regelmäßige Medienberichte über große Datenklau-Skandale und Netzwerkübergriffe unterstreichen diese Aussage.
Zwei-Faktor-Authentifizierung für Vertrauen und Schutz
truedentity gewährleistet eine gegenseitige, eindeutige Identifikation von Nutzer und Dienst. Die sichere Authentifizierungstechnologie ist flexibel einsetzbar und bietet so bedarfsorientierte Lösungen mit skalierbarem Schutzniveau. Basierend auf einer Zwei- oder Multi-Faktor-Authentifizierung wird vor der Kommunikation die eindeutige Identität aller beteiligten Personen oder Maschinen überprüft. Hierfür verifiziert ein eID-Server, als unabhängiges Bindeglied zwischen den Beteiligten, die Echtheit beider Seiten, während Nutzer und Dienst den Zugriff auf ihre abgesicherten Daten aktiv gestatten. Die anschließende Kommunikation findet verschlüsselt und nach den Sicherheitsvorgaben des BSI für den deutschen Personalausweis statt. Missbrauch durch gestohlene Identitäten wird so schon vor dem Daten- oder Systemzugriff erkannt und verhindert. Eine anschließende Meldung des versuchten Angriffs beim BSI erfüllt die Vorgaben des neuen IT-Sicherheitsgesetzes.
truedentity unterstützt neben dem Personalausweis auch individuell ausgestellte ID-Token unterschiedlicher Bauformen (bspw. Smart Card, USB, Softtoken), während die eigentliche elektronische ID (die eID-Anwendung) konform zur BSI TR-03127 bestehen bleibt. Außerdem können biometrische Verfahren genutzt werden, sodass auch Mitarbeiter- oder Unternehmensausweise die Basis für sichere Authentifizierungsprozesse bilden können.
Wer ist von der neuen Meldepflicht betroffen?
„Insgesamt sind sieben Branchen und etwa 700 Anlagen in Deutschland vom IT-Sicherheitsgesetz und somit von der neuen Meldepflicht betroffen“, weiß der Spezialist aus dem Hause OpenLimit. „Als Faustregel gilt die 500.000-er-Grenze: Sind mehr als 500.000 Bürger von der Versorgungsleistung eines Unternehmens aus den Bereichen Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz- und Versicherungswesen abhängig, ist die Anlage meldepflichtig und muss die geforderten Mindeststandards an IT-Sicherheit einhalten.“ Zur genaueren Definition wurden für die jeweiligen Sektoren Schwellenwerte festgelegt, die sich aus dem Verbrauch von 500.000 Bürgern berechnen. Diese liegen beispielsweise für Energieversorger bei einer jährlichen Stromerzeugung von mehr als 450 MW und bei Wasserwerken bei einer Bereitstellung von mindestens 21,9 Millionen m³ im Jahr. Noch bleiben den Betreibern sicherheitskritischer Anlagen knapp zwei Jahre, um die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. „Wir empfehlen jedoch jedem Unternehmen, ob von der Meldepflicht betroffen oder nicht, beim Thema IT-Sicherheit keine Zeit zu verlieren. Die Meldungen in den Medien sind lediglich die Spitze des Eisberges und Cyberangriffe sind eine reale, ernst zu nehmende Gefahr.“
Die OpenLimit SignCubes AG (www.openlimit.com) wurde im Jahr 2002 gegründet und ist eine hundertprozentige Tochtergesellschaft der börsennotierten OpenLimit Holding AG. Die Gesellschaft hat ihren Sitz in Baar, Schweiz und eine Tochtergesellschaft in Berlin, Deutschland. Die Unternehmensgruppe beschäftigt mehr als 70 hochqualifizierte Mitarbeiter.
OpenLimit steht für den sicheren elektronischen Handschlag. Wir ermöglichen mit unseren Technologien, dass Menschen und Maschinen weltweit ohne Einschränkungen sicher, nachweisbar und identifizierbar kommunizieren können. Wir entwickeln Basistechnologien und Produkte in den folgenden Bereichen: rechtssichere Signaturverfahren, digitale Langzeitarchivierung, sichere Datenübertragung und digitale Identitäten. Unsere Lösungen sind integraler Bestandteil von Produkten der führenden Hersteller von IT-Anwendungen und erreichen Unternehmen, Behörden, Institutionen sowie private Haushalte. Um unsere Mission eines sicheren elektronischen Handschlages zu verwirklichen, gehen wir gezielte strategische Entwicklungs- und Vertriebspartnerschaften ein.
Firmenkontakt
OpenLimit SignCubes AG
Marc Gurov
Zugerstraße 74
6341 Baar
+41 41 560 1020
+41 41 560 1039
[email protected]
http://www.openlimit.com
Pressekontakt
OpenLimit SignCubes GmbH
Vanessa Schmidt
Saarbrücker Str. 38 a
10405 Berlin
+49 30 400 3510 20
+49 30 400 3510 41
[email protected]
http://www.openlimit.com
