Voice e.V. nimmt Stellung
Das IT-Sicherheitsgesetz im Urteil der CIOs
Regelungen zur Verbesserung der Entdeckbarkeit fehlen
Des Weiteren fehlen Regelungen zur Verbesserung der Entdeckbarkeit von unerlaubten Aktivitäten wie Hacking, Spionage etc. Die Verifikation und die minimale Gültigkeitsdauer von Internet-Adressen sowie die Rückverfolgbarkeit von Datenströmen sind weithin ungeregelt. Abgebildet auf den Autoverkehr würde dies heißen, dass ein Fahrzeugbesitzer Nummernschilder in beliebiger Anzahl am Kiosk erwerben und dann innerhalb von Sekunden jederzeit wechseln könnte, ohne sich illegal zu verhalten. Eine Verbrechensbekämpfung wäre so nahezu unmöglich. Im Cyber-Raum kommt die fehlende Gegenständlichkeit der Handlungen hinzu, was tendenziell eher stärkere Einschränkungen erforderlich macht.
Außerdem befürwortet Voice eine stärkere Einbindung von Software- und Service-Anbietern in gesetzliche Regelungen zur Cyber-Security. Zurzeit betrifft das IT-Sicherheitsgesetz ausschließlich Anwendungsunternehmen. Kritis-Unternehmen müssen dem BSI Sicherheitsvorfälle melden. Häufig liegt die Ursache dieser Sicherheitsvorfälle, die Risikoquelle also, aber in Fehlern in Standard-Software oder -services.
Zero Day Exploits
Die sogenannten Zero Day Exploits sind dafür ein beredtes Beispiel. Angreifer nutzen frisch entdeckte, noch nicht gepatchte Fehler aus, um in Anwendungssysteme einzudringen. Voice fordert deshalb den Gesetzgeber auf, diese ungleichen Berichtspflichten von Anwendern und Anbietern anzugleichen und auch Anbieter stärker in die Pflicht zu nehmen.
Unabhängig von der Diskussion zum IT-Sicherheitsgesetz wurde im Roundtable des CIO-Magazins auch über die Notwendigkeit einer noch stärkeren Vernetzung der Anwenderunternehmen in Sachen SecuritySecurity und Cyber-Risk gesprochen. Zwar gebe es einige Initiativen in diese Richtung, aber die Zusammenarbeit sollte noch weiter intensiviert werden. Alles zu Security auf CIO.de
Das Cyber Security Competence Center von Voice e.V.
Hier wird der IT-Anwenderverband Voice, der für seine Mitglieder mit dem Cyber Security Competence Center bereits eine Kooperations- und Austauschplattform erfolgreich umsetzt, verstärkt aktiv und den bestehenden Sicherheitsinitiativen Unterstützung bei der übergreifenden Vernetzung anbieten.
Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.
Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.
Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.
In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.