Strategien


Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

22. September 2015
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Bei IT-Sicherheitsvorfällen bestehen vielfältige Meldepflichten für Unternehmen. Spezielle Tools unterstützen dabei, die Vorgaben einzuhalten.

"In vielen Ländern besteht für Unternehmen keine umfängliche Meldepflicht bei IT-Angriffen. So bleiben viele Vorfälle in der Öffentlichkeit unbekannt", erklärte Patrick Sweeney, Executive Director, Dell SecuritySecurity, anlässlich der Veröffentlichung des 2015 Dell Security Annual Threat Report. Alles zu Security auf CIO.de

Für Unternehmen in Deutschland zumindest können zahlreiche Informationspflichten bestehen, wenn es zu einem kritischen IT-Sicherheitsereignis oder einer Datenschutz-Panne kommt. Mit dem IT-Sicherheitsgesetz sind sogar noch weitere Meldepflichten hinzugekommen:

  • Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen nach IT-Sicherheitsgesetz betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, so eine Erläuterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

  • Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.

  • Informationspflichten nach IT-Sicherheitsgesetz bestehen aber nicht nur in Richtung BSI oder bei Telekommunikationsunternehmen an die Bundesnetzagentur. Telekommunikationsunternehmen sind zudem verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird. Bei der Vielzahl an Kundenanschlüssen, die Telekommunikationsunternehmen betreiben, und der Häufigkeit der Cyberattacken kann es oft der Fall sein, dass Anwenderunternehmen gewarnt werden müssen.

Schon hier wird deutlich, dass das Management der Meldepflichten und der "Incident Reports" komplex werden kann, wenn betroffene Unternehmen sicherstellen wollen, dass sie alle entsprechenden Vorgaben wirklich einhalten.

Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den letzten Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den letzten Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Foto: eco

Verbände kritisieren Ausgestaltung der Meldepflichten

Der zu erwartende Aufwand durch Melde- und Informationspflichten ist einer der Gründe, warum mehrere IT-Verbände an der Ausgestaltung des IT-Sicherheitsgesetzes Kritik geübt haben und dies auch weiterhin tun.

Eine Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, Bitkom und weiteren Branchenverbänden ergab 2014, dass allein aus der Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr für die deutsche Wirtschaft entstehen können.