Der 2. BSI-Grundschutztag 2017 in Köln stand gänzlich im Zeichen der Modernisierung des IT-Grundschutzes. Von sieben Vorträgen widmeten sich allein drei der Neustrukturierung des IT-Grundschutzes. Eine weitere Präsentation beleuchtete dasIT-Sicherheitsgesetzaus Sicht des BSI. Neben diesen vier “BSI-internen“ Vorträgen referierten der Mitveranstalter (Infodas GmbH) über die Einführung des IT-Grundschutzes in komplexen Organisationseinheiten wie der Bundeswehr,sowie Vertreter von KMPG AG über Lösungsansätze zur Abwehr von Cyber-Attacken auf Unternehmen, die nach IT-Sicherheitsgesetz zu den sog. KRITIS-Unternehmen gehören (Unternehmen als Bestandteil kritischer Infrastruktur). DieaktuellenCyber-Bedrohungen aus forensischer Erfahrung thematisierte ein ebenso unterhaltsamer, wie technisch orientierter Vortrag von Christoph Fischer von der BFK edv-consulting GmbH.
Der IT-(Grund-)Schutz in komplexen Organisationen
Der erste Vortrag zur Umsetzung des IT-Grundschutzes in komplexen Organisationen am Beispiel der Bundeswehr brachte für den geneigten und unbedarften Zuhörer die Erkenntnis, die er sich im Vorfeld des Vortrages erwarten durfte:
- Die Einführung/Adaptierung nicht unkomplexer IT-Sicherheitskonzepte in komplexen Organisationen ist so komplex wie kompliziert.Eigenwillige Organisationen erforderneinen erhöhten Implementierungsaufwand.
- Der Schutz sehr geheimer Geheimnisse erfordert spezielleSchutzmaßnahmen, die über den Grundschutz hinausgehen.
- Die Infodas GmbH meistert auch anspruchsvolle Projekte.
In der Regierungserklärung des Weißen Hauses heißt es u.a., dass ein unabhängiger und verbindlicher Mechanismus geschaffen werde, um Einzelpersonen zu ermöglichen, Rechtsmittel gegen illegale Datenverarbeitungen durch US-Geheimdienste einzulegen. Zudem sollen weitere Sicherheitsvorkehrungen ergriffen werden, um die Datenverarbeitung durch amerikanische Geheimdienste auf das Notwendige einzugrenzen. So sollen nach dem neuen Abkommen sicherheitsbehördliche Datenzugriffe und Massenspeicherungen von persönlichen Daten nur noch zur Verfolgung klar eingegrenzter nationaler Sicherheitsziele durchgeführt werden. Dabei sollen die Privatsphäre und die bürgerlichen Freiheiten aller Personen unabhängig von ihrer Nationalität oder ihrem Wohnsitzland berücksichtigt werden. Geheimdienste sollen nur dann Zugriff auf Daten erhalten können, wenn dies erforderlich erscheine, um bestimmte Spionageaktivitäten durchzuführen.
Das IT-Sicherheitsgesetz und die KRITIS-Unternehmen
Die beiden Vorträge zum IT-Sicherheitsgesetz beleuchteten zum einen die Entstehung, Systematik undgeplante Weiterentwicklung des IT-Sicherheitsgesetzes, wobei die Dozierendeauch auf die Definition der KRITIS-Unternehmen und deren Meldepflichten bei außergewöhnlichen IT-Vorkommnissen(= „wenn die Tekkis noch in der nächsten Mittagspause drüber reden“)einging. Zum anderen dozierten zwei Mitarbeiter der KPMG AG über Sicherheitslücken in KRITIS-Unternehmen, wobei sich nebender mangelhaftenSegregation von Netzwerken meist der menschliche Faktor(Spear-Phishing) als größtes Risikopotential innerhalb eines Unternehmens herausstelle.
Aktuelle Bedrohungslage
Den Menschen als „Hauptproblem der IT“ sah auch der, als Koryphäe anmoderierte, Cyber-Security Spezialist Christoph Fischer von der BFK edv consulting GmbH. In einem launigen Vortrag über seine Erfahrung als Troubleshooter in großen Unternehmen, Bundeseinrichtungen und sonstigen Institutionen stellte der Dozent die Notwendigkeit eines ganzheitlichen IT-Sicherheitskonzeptes heraus. Aus Sicht der IT-Forensik sei der Datenschützer zuweilen ein leidiges Problem, weil er immer alle Log-Files löschen wolle, die der Forensiker zur Untersuchung von Angriffen benötige, stellte Fischer fest. Um die verschiedenen,zum Teil miteinander konkurrierenden,Interessen an der IT in einem Unternehmen miteinander zu vereinbaren,sei die Geschäftsleitung gefordert ihren Fokus verstärkt auf diesen Unternehmensbereich zu rücken. Die allgemeinen Sicherheitsempfehlungen des Redners beschränkten sich bedauerlicherweise auf ein Minimum, da die Redezeit mit Anekdoten über den Mossad im System eines mittelständischen Automobilzulieferers (und Kreislaufkollaps des Geschäftsführers) und das Realtime-Operating-System seines neuen Kühlschranks bald überstrapaziert war.
Der IT-Grundschutz in neuem Gewand
Die wesentlichen Neuerungen, die sich im Zusammenhang der Umstrukturierung des IT-Grundschutzes des BSI ergeben,erläuterten drei Vorträge von BSI-Mitarbeitern. Die Änderungenbeziehen sich vornehmlich auf den Aufbau der einzelnen Dokumente, die das BSI für die Umsetzung ihres Informationssicherheitsstandards bereitstellt. Die vormals IT-Grundschutz-Kataloge bezeichneteDokumentation wird zukünftig unter dem Namen IT-Grundschutz-Kompendium firmieren. Ihre einzelnen, Bausteinegenannten, Empfehlungen (bzw. neu: Anforderungen) technischer und organisatorischer Art wurden erheblich gekürzt, um deren Umsetzbarkeit und vor allem Aktualität in Zukunft besser gewährleisten zu können. Die Standards, in denen die konzeptuellen und methodischen Empfehlungen zur Etablierung eines Informationssicherheitskonzeptes beschrieben werden, wurden ebenfalls komplett überarbeitet und sollen so verständlicher und übersichtlicher werden. Ein weiteres wesentliches Ziel der Überarbeitungen ist, die Kompatibilität mit anderen zertifizierbaren Standards (alle voran: ISO 27000) sicherzustellen.
Fazit
Die Ausführungen zu den Neuerungen im BSI IT-Gundschutz sind wohl für versierte Anwender und Auditoren lohnenswert, da sie zum Teil detailliert die umstrukturiertenAspekte beschreiben und erklären. Eine thematisch grundlegende Einführung in die Instrumentarien des BSI bieten die Vorträge nicht. Einen gewissen Input nimmt man aber gleichwohl mit, auch wenn sich dieser neben einigen verinnerlichten Begrifflichkeiten auf ein Gerüst nachzubearbeitender Fragen begrenzen mag.Die –auch lebendiger vorgetragenen –Präsentationen zu den aktuellen Cyber-Bedrohungen waren hingegen durchaus aufschlussreich und teilweise unterhaltsam.
Der Autor und Ihr Kontaktweg:
Bernhard Brands und das Team der Brands Consulting stehen Ihnen gerne in Fragen des Datenschutzes zur Verfügung. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse. Flankierend dazu leistet die Byte Solution, als IT-Dienstleister und Schwestergesellschaft der Brands Consulting, den technischen Support für die Realisierung ihrer IT-Projekte und ist zudem Anbieter eigener Softwarelösungen. Die Byte Solution bietet nicht nur den PRIMA Hinweisgeber, sondern auch das Datenschutzmanagementsystem, PRIMA Cloud, an. Der PRIMA Hiweisgeber ist damit ein Teil der PRIMA Cloud bzw. der PRIMA Cloud Software-Suite.
Haben Sie noch Fragen? Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!
