Im Mittelpunkt des Entwurfs steht die Meldepflicht sicherheitsrelevanter Vorfälle und die Vereinbarung eines Mindeststandards an IT-Sicherheit vor allem für die Betreiber kritischer Infrastrukturen in den Bereichen Energie, Informations- und Kommunikationstechnik sowie der Wasserversorgung. Damit greift das Ministerium der momentan diskutierten Meldepflicht auf EU-Ebene vorweg.
Ralph Kreter, Director Central Europe and Middle East bei LogRhythm, einem der Marktführer im Bereich Cyber-Threat-Erkennung und -Abwehr, kommentiert den Vorstoß des Bundesinnenministeriums:
„Dieser jüngste Vorschlag für eine neue Richtlinie in der IT-Sicherheit geht genau in die richtige Richtung. Eine Verschärfung beziehungsweise die Etablierung eines einheitlichen Mindeststandards für die IT-Sicherheit in Unternehmen und Organisationen ist längst überfällig. Mit dem Vorschlag des Bundesinnenministeriums könnte das Vertrauen der Verbraucher in die Internet-Sicherheit zumindest teilweise wiederhergestellt werden. Zudem ist der Entwurf ein deutliches Signal an Brüssel, an einer EU-weiten Richtlinie für die IT-Sicherheit und einer Meldepflicht festzuhalten.
Leider scheint auch der deutsche Vorschlag nicht branchenübergreifend wirksam zu sein. Es ist zwar sehr begrüßenswert, dass Betreiber kritischer Infrastrukturen verstärkt in die Pflicht genommen werden sollen, aber darüber hinaus gibt es viele Unternehmen und Organisationen, die mit Unmengen an hochwertigen und persönlichen Daten arbeiten und scheinbar unbetroffen von dieser vorgeschlagenen Richtlinie sind. Damit würde sie sogar kürzer greifen als die diskutierte EU-Richtlinie, die zumindest Technologieunternehmen wie beispielsweise Google und Facebook mitberücksichtigt.
Aber auch ohne entsprechende Richtlinien sollten Organisationen – unabhängig von Größe und Branchenzugehörigkeit – von sich aus auf die Aufrechterhaltung von transparenten IT-Sicherheitsstrategien drängen. Da die IT-Infrastruktur in allen Bereichen an Größe und Komplexität zunimmt und sich die sicherheitsrelevanten Zwischenfälle auf Rekordniveau befinden, sollten die Anreize eigentlich groß genug sein, für 360-Grad-Sicherheitssysteme, wie beispielsweise SIEM-Lösungen der nächsten Generation.
Denn mit herkömmlichen Sicherheitslösungen ist den immer komplexer werdenden Angriffen aus dem Cyberspace nicht mehr beizukommen. Das Verständnis des eigenen Netzwerkes wird zur Schlüsselqualifikation im Kampf gegen die Angreifer. Nur wer die einzelnen Netzwerkprozesse deuten und in einen übergeordneten Kontext setzen kann, hat eine Chance, Angriffe auf das eigene Netzwerk zu verhindern. Dabei muss sich die Perspektive der Verantwortlichen ändern: weg von der rein reaktiven Abwehr, hin zur proaktiven Selbstverteidigung. Die kontinuierliche und Muster erkennende Echtzeitüberwachung aller Netzwerkaktivitäten ist dafür extrem wichtig. So kann sowohl Datenmissbrauch verhindert, als auch das eigene Unternehmen auf kommende härtere Gesetzgebungen adäquat vorbereitet werden.“