Deutsche Cyber-Sicherheitsorganisation (DCSO): Die Lösung aller Probleme?

Allianz, Bayer, BASF und VW gründen einen IT-Sicherheitsdienstleister. Diese Meldung wird seit einigen Tagen über das Internet verbreitet. Die vier DAX-Konzerne wollen mit dem Unternehmen „Deutsche Cyber-Sicherheitsorganisation“ und der Kurzbezeichnung „DCSO“ ihre Probleme im Bereich IT-Sicherheit beseitigen. Es sollen Dienstleistungen zur IT-Sicherheit entwickelt werden und die Unternehmen hoffen, dass hier ein Kompetenzzentrum der deutschen Wirtschaft für Computer- und Internetsicherheit entsteht. Angekündigt ist eine enge Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Von den Unternehmen wird betont, dass die DCSO eine eigenständige Gesellschaft ist und nicht von den vier Gründungsgesellschaften gesteuert wird. Es sollen beispielsweise ein Frühwarnsystem sowie Sicherheits-Audits geführt werden.

Diese Neugründung ist eine erste Reaktion auf das neue IT-Sicherheitsgesetz, das seit dem 25.07.2015 gilt. Hier sind die Kritischen Infrastrukturen und damit viele Unternehmen gefragt, Auditierungs- und Meldepflichten nachzukommen. Beispielsweise erwartet der Gesetzgeber, dass mindestens alle zwei Jahre gegenüber dem BSI Sicherheitsprüfungen, Audits oder eine andere Art der Zertifizierung nachgewiesen und so von den Kritischen Infrastrukturen (KRITIS) ein Mindeststandard an IT-Sicherheit nachgewiesen wird. Dies stellt viele Unternehmen vor neue Herausforderungen.

Ob allerdings Outsourcing-Projekte hier die Lösung aller Probleme sind, darf stark bezweifelt werden. Auch die DCSO muss bestimmte Sicherheitsanforderungen erfüllen. Beispielsweise sieht der von der Bundesnetzagentur veröffentlichte IT-Sicherheitskatalog vor, dass Netzbetreiber eine ISO-Zertifizierung nach 27001 vorweisen sollen. Diese Pflicht wird bei einem Outsourcing-Projekt eins zu eins an den Dienstleister weitergegeben werden müssen. Dies ist sowohl in der Gesetzesbegründung vom Gesetzgeber betont worden, in den Veröffentlichungen der Bundesnetzagentur zum IT-Sicherheitskatalog finden sich gleiche Hinweise. Verantwortlich bleibt der Betreiber einer Kritischen Infrastruktur. Er muss dafür sorgen, dass die gesetzlichen Regelungen eingehalten werden.

Insbesondere dann, wenn ein Teil der IT-Infrastruktur beim Betreiber einer Kritischen Infrastruktur verbleibt, führt dies letztendlich dazu, dass die eigene IT zertifiziert werden muss und darüber hinaus noch ein passender Dienstleister zu suchen ist. Nach unserer Erfahrung ergibt sich daraus die intensive Diskussion, ob nicht die eigene IT gestärkt wird.

Zu bedenken ist auch, dass ein externer Dienstleister beispielsweise die Meldepflichten nur dann ausreichend erfüllen kann, wenn er genaue Kenntnis von der IT-Infrastruktur des Auftraggebers hat. Dies setzt hohe Anforderungen an die IT-Dokumentationen. Dies könnte ebenfalls eine Hürde für Outsourcing-Projekte im Bereich IT-Sicherheit sein.

Weiterhin ist zu bedenken, ob beispielsweise Mitbewerber der Gründungsgesellschafter oder andere Unternehmen es langfristig schätzen und wollen, dass ein Unternehmen mit finanziellen Abhängigkeiten zu den Gründungsgesellschaften unternehmenskritische Informationen zur Informationstechnologie erhält. Die Betonung der Eigenständigkeit allein wird nicht genügen. Die Unabhängigkeit von den Gründungsgesellschaften muss sich letztendlich auch in der Organisation wiederfinden, da anderenfalls die Gefahr nicht ausgeschlossen werden kann, dass sensible Informationen in falsche Hände geraten. Hier ist die aktuelle Affäre um Volkswagen zum Thema „Abgasuntersuchung“ sicherlich keine vertrauensbildende Maßnahme. Hier ist zu erwarten, dass potentielle Kunden nach den öffentlich verbreiteten Erfahrungen, dass Volkswagen sich nicht an gesetzliche Regelungen hält, bei einem von Volkswagen gegründeten Dienstleister kritischer hinschauen.

Wenn Sie Beratungsbedarf zum IT-Sicherheitsgesetz haben, können Sie sich gern an uns wenden. Wir haben mittlerweile diverse Seminare und Inhouse-Veranstaltungen zum IT-Sicherheitsgesetz durchgeführt und stehen mit einigen Unternehmen, die Kritische Infrastruktur sind und unter die Regelungen des IT-Sicherheitsgesetzes fallen, in engem Dialog, wie im Einzelnen die neuen gesetzlichen Anforderungen umzusetzen sind.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 4,40 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*