Ob Anschläge auf Strommäste oder Drohnenangriffe: Beim neuen Kritis-Dachgesetz sieht IT-Sicherheitsexperte Manuel Atug Verbesserungsbedarf.
Ob Anschläge auf Strommäste oder Drohnenangriffe: Beim neuen Kritis-Dachgesetz sieht IT-Sicherheitsexperte Manuel Atug Verbesserungsbedarf.
Wir brauchen dringend vernünftige Regelungen (und in Teilen sind sie auch vernünftig). Das Problem ist die Umsetzung und Kontrolle.
Solange aber eben die Strafen minimal sind (die höchste mir bekannte lag bei 10.000€) und gleichzeitig kaum kontrolliert wird (selbst bei ultra kritischen Bereichen wie Rettungsleitstellen, Kliniken, Feuerwehren, der Bundeswehr, Stromversorgern, Telekommunikation). Da ist natürlich die Motivation lieber einen Cent und die Arbeit zu sparen hoch - wie du sagst.
Könnte man ja ganz einfach regeln: Wenn wir die Führungskräfte dafür persönlich haftbar machen und gleichzeitig umsatzorientierte Strafen einführen sowie fundierte Audits zur Pflicht machen ist das Thema in 2 Jahren erledigt.
Das Problem ist wer und wie das kontrollieren und umsetzen soll. Dafür bräuchte man kompetentes Personal mit Befugnissen. Sonst wird daraus nur ein dummer Compliance-Cargo-Cult mit Checklisten und Schlangenöl.
Es gibt dafür durchaus Möglichkeiten - andere Länder arbeiten hier mit Zertifizierungsagenturen, etc. Die Konzepte gibt es, vor COVID war auch tatsächlich eine gesellschaftliche Pflicht in Diskussion für die wichtigsten Infrastrukturen, aber dann kam Covid und es verschwand alles.
Wir kriegen es beim TÜV, bei der E-Technik Prüfung,etc. ja auch hin.
Und natürlich braucht es dabei kompetentes Personal,aber am Ende muss man ja mal anfangen.
Mir wäre keine einzige Zertifizierung international bekannt, die nicht nur Compliance-Bullshit und Gewissensberuhigung wäre. Echte IT-Sicherheit würde halt ein Haufen Umdenken erfordern. Kein Microsoft mehr, kein Cisco mehr, überhaupt kein US-Unternehmen mehr. Große Investitionen in Freie Software, Support-Pflicht für Hersteller kommerzieller Software und Hardware über Jahrzehnte, usw.
Und mit Support-Pflicht meine ich nicht, Hersteller sagt 👍 also Zuschlag, sondern Zusammenarbeit mit den Herstellern (wir stellen die eine Hälfte des Entwicklerteams, ihr die Andere), Open-Source-Pflicht der erarbeiten Lösung, echte Pläne für Bankrott des Herstellers oder eines Sub-Sub-Sub-Unternehmens.
Es geht hier nicht nur un IT Sicherheit sondern um KRITIS Sicherheit an sich - da gibt’s tatsächlich Länder die weiter sind.
IT Sicherheit ist davon ja nur ein kleiner Teilbereich.
Das Kontroll- und Durchsetzungsproblem bzw. das Nicht-Stattfinden zieht sich inzwischen durch vieles in Deutschland.
Aber nein, die Politik kapiert es nicht. Und es wird wieder ein bescheuerter Papiertiger beschlossen, der nie geahndet wird. Was soll das? Warum lässt man es nicht lieber bleiben?