Muss man Sicherheit per Gesetz vorschreiben?

Muss man Sicherheit per Gesetz vorschreiben?

Haben Sie schon von der NIS-Richtlinie bzw. dem NIS-Gesetz gehört? Im Kern will dieses seit 2018 in Kraft getretene Bundesgesetz dafür sorgen, dass Betreiber sogenannter „kritischer Infrastruktur“ für ein hohes Sicherheitsniveau ihrer IT/OT-Systeme sorgen müssen. Damit will man zum Beispiel Cyberangriffen vorbeugen – ein Thema, das heute leider aktueller denn je ist.

Im Wesentlichen betrifft dieses Gesetz erst einmal große Betriebe wie Energieversorger, Öl- und Gaskonzerne, Trinkwasserverbände, Banken und ähnliche Institutionen. Man möchte meinen, dass all diese Betriebe schon vor 2018 alles darangesetzt haben, um die IT-Sicherheit ihrer Systeme und Anlagen so hoch wie möglich zu halten. Ist es daher wirklich notwendig gewesen, ein Gesetz zu erlassen und diese Betriebe mit zusätzlichen Auflagen und Verpflichtungen zu belasten?

Grundsätzlich sollte IT/OT-Security nicht nur dem „ITler“, sondern auch der Geschäftsführung wichtig sein. Jeden Tag liest man in den Nachrichten über ein Unternehmen, das von einem Hacker-Angriff betroffen ist und dadurch großen Schaden erlitten hat. Niemand will sein Unternehmen mit einer derartigen Überschrift in der Zeitung konfrontiert sehen.

OT-Security, also dort, wo es um IT im Produktionsbereich geht – dort, wo gesteuert, gemessen und automatisiert wird – ist dabei noch kritischer zu bewerten als die klassische IT-Infrastruktur-Sicherheit. Ein Hacker, der sich Zugriff zu Maschinen oder Anlagen verschaffen kann, ist potentiell gefährlicher als jemand, der Word-Dokumente verschlüsselt, um ein Lösegeld zu erpressen.

Es wäre also naheliegend zu behaupten, dass state-of-the-art IT/OT Security ohnehin für jedes Unternehmen Top-Priorität hat.

Unsere Erfahrung zeigt – bei fast allen Kunden gab es Verbesserungen, die durch NIS herbeigeführt wurden. Ja, es wurde wie immer in solchen Fällen auch viel Papier produziert (das vermutlich nie jemand wirklich gelesen hat). Und es ist oft übers Ziel hinausgeschossen worden und man hätte mit gesundem Menschenverstand oftmals hastiges Systembefriedigen vermeiden können. Aber am Ende können viele Betriebe auf mehr Sicherheit für ihren Betrieb vertrauen. Und das Management hat jetzt auch mehr Bewusstsein für das Thema.

War dazu ein Gesetz notwendig? Ich sage es mal so: Geschadet hat es vermutlich nicht! Oft braucht es einen kleinen externen „Schubser“.

Wenn Ihr Unternehmen nicht in den Geltungsbereich des NIS-Gesetzes fällt, Sie sich aber trotzdem gerade fragen, wie gut Sie auf den Fall der Fälle vorbereitet wären – wir bieten einen kostenlosen Erfahrungsaustausch in Form eines einstündigen Gespräches an. In einer Stunde beleuchten wir viele verschiedene Aspekte der IT-(und speziell OT)-Security und Sie haben einen guten Überblick, wo Sie bereits gut aufgestellt sind und finden vielleicht auch das eine oder andere Thema, wo Sie noch etwas verbessern können. Klicken Sie hier und nehmen Sie Kontakt mit uns auf! Wir freuen uns auf das Gespräch mit Ihnen!