Deutscher Industrie- und Handelskammertag



Ähnliche Dokumente
Deutschland-Check Nr. 35

Nutzung dieser Internetseite

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Erfahrungen mit Hartz IV- Empfängern

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Der Schutz von Patientendaten

D i e n s t e D r i t t e r a u f We b s i t e s

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Was meinen die Leute eigentlich mit: Grexit?

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Mobile Intranet in Unternehmen

Auswirkung der neuen Rechtsprechung des Bundesarbeitsgerichts auf Urlaubsund Urlaubsabgeltungsansprüche von Langzeiterkrankten.

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

»Kredite einfach vermitteln«5 Jahre. Noch einfacher. Noch besser.

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Online-Marketing in deutschen KMU

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Goldene VR-BankCard PLUS Das Mehrwertprogramm

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Inhaltsverzeichnis. Anleitung für den Umgang mit SHB im Forum:

Informationssicherheit als Outsourcing Kandidat

Das Leitbild vom Verein WIR

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Checkliste. Erfolgreich Delegieren

Speicher in der Cloud

Der wachsende Berufsunfähigkeitsschutz SV Start-Easy-BU.

Verpasst der Mittelstand den Zug?

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

1. Einführung. 2. Weitere Konten anlegen

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Konzentration auf das. Wesentliche.

Handout Wegweiser zur GECO Zertifizierung

1: 9. Hamburger Gründerpreis - Kategorie Existenzgründer :00 Uhr

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

IT-Sicherheit in der Wirtschaft

Chancen 2014: Erfolgsfaktor Bibliotheksstrategie

Mandanteninformation Die neue amtliche Muster-Widerrufsbelehrung Art Abs. 3 Satz 1 Anlage 1 EGBGB

Die Post hat eine Umfrage gemacht

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

ERGÄNZUNGEN ZUR ANALYSIS II MITTELWERTSATZ UND ANWENDUNGEN

Über den Link erreichen Sie unsere Einstiegsseite:

Aktuelle Informationen und Verhandlungsergebnisse M+E Mitte Sonderbeilage zum Tarifabschluss

Das IT-Sicherheitsgesetz

Der schnelle Weg zu Ihrer eigenen App

Es gilt das gesprochene Wort. Anrede

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Was sind Jahres- und Zielvereinbarungsgespräche?

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Wechselbereitschaft von. Bevölkerungsrepräsentative Umfrage vom 09. Januar PUTZ & PARTNER Unternehmensberatung AG

Zentrum. Zentrum Ideenmanagement. Zentrum Ideenmanagement. Umfrage zur Nutzung von mobilen Endgeräten im Ideenmanagement

Nicht über uns ohne uns

II. Zum Jugendbegleiter-Programm

Avira Partner der öffentlichen Verwaltung Wichtige Kooperationen und Allianzen

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

HintergrÜnde. zur Urheberrechtsabgabe. rechnen sie mit uns.

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Outsourcing Sweep Clauses

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Kapitel I: Registrierung im Portal

nic.at - Salzamt im (österreichischen) Internet?

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Mediumwechsel - VR-NetWorld Software

Grußwort Bundesministerium für Arbeit und Soziales. Produktpiraterie

teamsync Kurzanleitung

Staatssekretär Dr. Günther Horzetzky

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Unfallversicherung für Praktikanten und Ferienjobber was Arbeitgeber wissen müssen

Das Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken

Ergebnisse der Umfrage zur Wirtschaftsförderung. Name: Dr. Schulz

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Leitfaden zur Durchführung eines Jahreswechsels in BüroWARE 5.x

Grundfunktionen und Bedienung

ACDSee Pro 2. ACDSee Pro 2 Tutorials: Übertragung von Fotos (+ Datenbank) auf einen anderen Computer. Über Metadaten und die Datenbank

XT Großhandelsangebote

Deutscher Bürgerpreis. Jetzt bewerben: Deutschland 2016 Integration gemeinsam leben

Sicher kommunizieren dank Secure der Suva

Pflegende Angehörige Online Ihre Plattform im Internet

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Installation OMNIKEY 3121 USB

Neue Kennwortfunktionalität. Kurzanleitung GM Academy. v1.0

Sie werden sehen, dass Sie für uns nur noch den direkten PDF-Export benötigen. Warum?

Kundeninformationen zur Sicheren

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Checkliste «Datenbekanntgabe»

Transkript:

19.11.2012 Deutscher Industrie- und Handelskammertag 3 Zentrale Regelungsinhalte zur Verbesserung der IT-Sicherheit Wir bedanken uns für die Möglichkeit, zu den Eckpunkten des Bundesministeriums des Innern zu zentralen Regelungsinhalten zur Verbesserung der IT-Sicherheit Stellung zu nehmen. Im Zuge der zunehmenden Digitalisierung ganzer Wertschöpfungsprozesse gewinnen Fragen der IT-Sicherheit an Bedeutung für viele Branchen. Internetpräsenzen, aber auch DV-Anlagen von Unternehmen können manipuliert und wichtige Kundendaten, Betriebsgeheimnisse, Inhalte der Finanzbuchhaltung oder Softwareprodukte verändert, gelöscht oder gestohlen werden. Unternehmen werden zunehmend zum Angriffsziel national und international agierender Täter bzw. Tätergruppen. Die Bedrohungspotenziale in den Unternehmen sind unterschiedlich und erfordern somit auch differenzierte Maßnahmen. a) Der Großteil der Produktions- oder Dienstleistungsbetriebe nutzt die IT bzw. Datenlogistik lediglich als Teil der Lieferkette und sichert diese berechtigterweise genauso wie andere Produktionsteile ab. b) Darüber hinaus gibt es weitere Unternehmen, deren Geschäftsmodell in nennenswertem Maße auf dem Einsatz von IT-basiert, um die Produktion und die Dienstleistung überhaupt möglich zu machen. c) Bei einer weiteren Kategorie handelt sich um so genannte kritische Infrastrukturen im engeren Sinne wie Energie- oder Telekommunikationsnetze. In diesen Bereichen gibt es hochsicherheitsbedürftige Daten, die per se durch ihre Existenz Ziel von Attacken sind. Die Nichtbeachtung von IT-Sicherheit und Datenschutz kann hier schnell zu einem existenzbedrohenden Risiko werden mit Auswirkungen auf andere Wirtschaftsbereiche, Nachfrager und zum Teil der gesamten Volkswirtschaft. Unternehmen in diesem Bereich müssen sich deshalb naturgemäß schon seit vielen Jahren mit möglichen Formen von Angriffen auf deren Systeme und Infrastrukturen auseinandersetzen. - 1 -

Prinzipiell gehen wir davon aus, dass ein Eigeninteresse der Unternehmen besteht, die Sicherheit und Transparenz gegenüber ihren Kunden und den Sicherheitsbehörden zu erhöhen. Sie werden deshalb freiwillige Aktivitäten entfalten auch ohne gesetzliche Vorgaben. Angesichts zahlreicher Initiativen zur Verbesserung der IT-Sicherheit in der Wirtschaft und des bestehenden Eigeninteresses der relevanten Unternehmen an Sicherheitsmaßnahmen müsste unserer Ansicht nach jedoch vor einer gesetzlichen Regelung gemeinsam mit den Betroffenen besprochen werden, ob eine solche Regelung überhaupt notwendig ist und wie sie gegebenenfalls konkret ausgestaltet sein könnte. Wir stellen in Zweifel, dass ein solches Gesetzesvorhaben noch in dieser Legislaturperiode gründlich mit allen Beteiligten diskutiert und verabschiedet werden kann. Diskussionsbedarf sehen wir insbesondere im Hinblick auf die Frage, wer die Kosten solcher Verpflichtungen tragen soll. Gegen eine schnelle Verabschiedung eines Gesetzes spricht zudem, dass die EU-Kommission zur Zeit eine Internet Security Strategy ausarbeitet. Darin sollen der Aufbau eines europäischen Frühwarnsystems, der Umgang mit Sicherheitsvorfällen sowie entsprechende Förderschwerpunkte im kommenden Forschungsrahmenprogramm konkretisiert werden. Wir empfehlen, bei eventuellen gesetzgeberischen Maßnahmen auf den europäischen Aktivitäten aufzusetzen. Zu den Eckpunkten im Einzelnen: Pflicht zur Erfüllung von Mindestanforderungen für Betreiber kritischer Infrastrukturen Offen bleibt die Frage, was genau die wichtigsten kritischen Infrastrukturen sind und wann genau ein Unternehmen eine "kritische Infrastruktur" ist und damit unter das Gesetz fiele. Das BMI hat im Rahmen der KRITIS-Strategie Wirtschaftssektoren identifiziert und sicher gibt es Unternehmen, die eindeutig im Definitionsbereich liegen. Bei anderen dürfte eine Abgrenzung, ob sie vom Anwendungsbereich erfasst sind, schwerer fallen. Hier ist eine klare Definition gefragt. Geprüft werden sollte, wie auf freiwilliger Basis eine breitere Umsetzung der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS) über die bislang eingebundenen Beteiligten hinaus erreicht werden könnte. - 2 -

Ein direkter Ansatz, Sicherheit auf alle Branchen zu übertragen, wäre, die IKT-Infrastrukturen und -Dienste insgesamt sicherer zu machen. Denn IT-Sicherheit fängt bereits bei der Produktion von Hard- und Software an. Hier steht der jeweilige Hersteller, die IT-Industrie, in der Pflicht, Schwachstellen-Meldungen in IT-Systemen und entsprechende Sicherheitsmaßnahmen (z. B. der Bereitstellung von Sicherheits-Software-Updates) zeitnah über einen dezidierten Informationsdienst zu liefern. Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle für Betreiber kritischer Infrastrukturen Verständlicherweise sind Unternehmen sehr zurückhaltend mit der Meldung erlittener Angriffe. Offensichtlich besteht hier eine Vertrauenslücke zwischen Wirtschaft und staatlichen Ermittlungsbehörden. Statt einer gesetzlichen Verpflichtung, Attacken zu melden, besteht ein richtiger Schritt darin, erst eine Vertrauensbasis herzustellen, die Grundlage für eine Diskussion und Zusammenarbeit privater Unternehmen und öffentlicher Stellen ist. Eine Meldepflicht von Cyber-Attacken ist nach Ansicht des DIHK auch aufgrund der hohen Angriffszahlen und der unterschiedlichen Qualitäten praktisch schwer umsetzbar. Für viele Unternehmen gestaltet sich bereits eine Kategorisierung schwierig. Zudem wäre eine Kontrolle der gesetzlichen Vorgabe in der Praxis kaum möglich. Eine derartige Verpflichtung hätte einen erheblichen bürokratischen Aufwand bei den Unternehmen zur Folge, dessen Mehrwert in Frage steht. Aus dem Eckpunktepapier geht nicht hervor, ob und wie die Unternehmen, die Meldungen abgegeben, gegebenenfalls unterstützt werden. Hilfreich wären sicher zielgerichtete, verständlich aufbereitete und aktuelle Informationen von BSI, BMI und dem Cyber-Abwehrzentrum. Der Weg der freiwilligen Meldungen im Sinne einer Selbstregulierung der Wirtschaft ist unserer Ansicht nach der richtige Ansatz. Die Allianz für Cyber Sicherheit steht erst am Anfang und sollte weiter ausgebaut werden. Wir gehen davon aus, dass dies ein sinnvoller Ansatz für eine Zusammenarbeit und einen Austausch unterhalb einer gesetzlichen Meldepflicht oder normierter Informationsstrukturen darstellt. - 3 -

Pflicht zur Erfüllung von Mindestanforderungen und Pflicht zur Meldung erheblicher IT- Sicherheitsvorfälle für Telekommunikationsanbieter In der IKT-Branche gehört die Befassung mit Sicherheitsfragen zum Tagesgeschäft. Ohne spezielle Sicherheitsvorkehrungen würden die Geschäftsmodelle kaum mehr funktionieren. Deshalb ist davon auszugehen, dass gerade die IKT-Branche in Bezug auf Sicherheitsthemen per se vorbildhaft aufgestellt ist und sich zusätzliche Verpflichtungen erübrigen. Auch die Energie- und Wasserwirtschaft haben in der Vergangenheit bereits zahlreiche Maßnahmen zur IT-Sicherheit ihrer Kraftwerke, Kläranlagen oder Netze unternommen. Schon heute bestehen auf Grundlage unterschiedlicher Gesetze Melde- und Transparenz-Pflichten sowie spezielle Sicherheitsvorschriften für die IKT-Branche. So enthalten 109 und 109a Telekommunikationsgesetz klare Regelungen für technische Schutzmaßnahmen von Telekommunikationsanbietern. Diese unterliegen auch bereits einer Meldepflicht allerdings gegenüber der Bundesnetzagentur. Eine zusätzliche Meldepflicht gegenüber dem BSI würde einen nicht zu rechtfertigenden bürokratischen Mehraufwand für diese Unternehmen bedeuten. Insofern sehen wir keinen zusätzlichen Regelungsbedarf für Unternehmen im Anwendungsbereich des TKG, wohl aber Bedarf an klaren Zuständigkeitsregelungen bzw. zumindest Abstimmungsbedarf zwischen den Aufsichtsbehörden. Verpflichtung der Telekommunikationsanbieter, ihre Nutzer bzgl. Schadprogrammen zu informieren und zu helfen Schon heute bestehen auf freiwilliger Basis Initiativen der Wirtschaft, z. B. mit dem Anti-Botnet- Beratungszentrum oder der Initiative S, die die Nutzer direkt unterstützen. Solche Initiativen ließen sich auch ohne gesetzliche Vorgaben im marktlichen Umfeld weiter ausbauen. Eine gesetzliche Verpflichtung für Anbieter, entsprechende Hilfsmittel zur Verfügung zu stellen, wirft automatisch die Frage auf, wer die Kosten dafür trägt. Unklarheit besteht auch in Bezug auf damit einher gehende Haftungsfragen. Wenn vor Schadsoftware gewarnt wird, dürfen damit keine Haftungsansprüche verbunden sein. Im Übrigen wären auch in diesem Fall sicher zielgerichtete, verständlich aufbereitete und aktuelle Informationen von BSI, BMI und dem Cyber-Abwehrzentrum eine sinnvolle Ergänzung. - 4 -

Die BMWi-Taskforce für Sicherheit in der Wirtschaft liefert bereits wertvolle Anstöße. In diesem Rahmen sollte über die Einführung weiterer Hilfsangebote auf freiwilliger Basis diskutiert werden. Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit für Telemedienanbieter Sollte eine solche Verpflichtung als ein Hebel zur Verbesserung der IT-Sicherheit genutzt werden, müsste der "zumutbare Umfang" weiter konkretisiert werden. Befugnis des BSI zur Untersuchung von Hard- und Softwarekomponenten und Veröffentlichung der Ergebnisse Zu dem hier genannten Eckpunkt lassen sich momentan keine konkreten Aussagen treffen, da nicht abschätzbar ist, inwieweit damit Eingriffe in die technischen Systeme der Unternehmen verbunden wären. Wir behalten uns Konkretisierungen vor, sobald detailliertere Vorgaben zur Diskussion gestellt werden. Ansprechpartner im DIHK: Dr. Sebastian Bolay, E-Mail: bolay.sebastian@dihk.de, Telefon; 030 20 308 2202 Dr. Katrin Sobania, E-Mail: sobania.katrin@dihk.de, Telefon 030 20 308 2109-5 -

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback