Der Hacker-Angriff WannaCry hat gezeigt, wie wichtig das Thema IT-Sicherheit bei kritischen Infrastrukturen ist. Auch Krankenhäuser waren ins Visier der Hacker geraten. Die dritte, aktualisierte Version der Normungs-Roadmap IT-Sicherheit der VDE|DKE Kontaktstelle Informationssicherheit (KSI) und der Koordinierungsstelle IT-Sicherheit im DIN zeigt deshalb auf, welchen Anforderungen ein wirksames Schutzschild entsprechen muss.
Die Experten sind davon überzeugt, dass Sicherheitsmaßnahmen nicht dem Zufall überlassen bleiben oder aufgrund von finanziellen Aspekten auf ein Minimum reduziert sein dürfen. Sichere Produkte und Systeme, auch Managementsysteme, seien unabdingbar, um die wichtigen Ziele von IT-Sicherheit – Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität – zu erreichen. Damit das gelingt, müssen die Anforderungen und Umsetzungsvarianten eines Schutzschildes standardisiert und in Zeiten beschleunigter Technikkonvergenz auch branchenübergreifend koordiniert werden.
Geänderte Rahmenbedingungen
Die aktuelle Version der Normungs-Roadmap geht auf die neuen gesetzlichen und regulatorischen Entwicklungen auf EU-Ebene ein. Dazu zählt zum Beispiel die im Entwurf vorliegende EU ePrivacy-Verordnung, die neue Pflichten zur IT-Sicherheit festlegt. „Derzeit wirken sich massive Paradigmenänderungen organisatorischer, methodologischer sowie technologischer Art in den Geschäftsprozessen extrem stark auf Anforderungen und Lösungen für IT-Security und den Datenschutz aus“, sagt Normen, IT-Experte beim VDE und Leiter von „CERT@VDE“, der ersten Plattform zur Koordination von IT-Security-Problemen speziell für KMUs im Bereich Industrie 4.0. Allein die technologischen Veränderungen umfassen Harner zufolge ein breites Spektrum: „Es reicht von neuen Generationen von Rechnerarchitekturen und explodierenden Speicherkapazitäten bis zur Hinwendung zu verteilten Systemen, mobilen Technologien, Künstliche Intelligenz, Big Data & Business Analytics, Cloud Computing, Social Business usw.“, so Harner.
Konflikt zwischen IT-Sicherheit und Usablity lösen
Security by Design ist eine wesentliche Voraussetzung dafür, dass IT-Lösungen und Produkte interoperabel eingesetzt werden können und das Internet der Dinge Wirklichkeit wird. Zugleich zeichnet sich aber ein Konflikt zwischen IT-Sicherheit und Usability ab. Dabei geht es um die Frage, wie viel IT-Sicherheit nötig ist, um Angriffe abzuwehren, und wann Maßnahmen zur IT-Sicherheit letztlich dazu führen, dass IT-Systeme nicht mehr nutzbar und akzeptabel für den Nutzer sind. „Diesen Konflikt zwischen IT-Security und Usability müssen wir auflösen. Hier eröffnet sich ein weiteres Arbeitsfeld für die Normung“, so der IT-Experte weiter. Grund zur Sorge gäbe es allerdings nicht. Die dritte Version der Normungs-Roadmap IT-Sicherheit zeigt, dass die Bereiche Datenschutz, Energieversorgung und -erzeugung, industrielle Produktion, Health und Medizintechnik, Smart Living sowie kritische Infrastrukturen normungstechnisch gut abgedeckt sind. Der Anteil an gemeinsam genutzten Standards ist allerdings weiterhin relativ gering. Aber hieran arbeiten die Experten bereits. So gilt es als sicher, dass es eine Version 4 der Normungs-Roadmap IT-Sicherheit geben wird. Die Deutsche Normungs-Roadmap IT-Sicherheit Version 3 steht kostenlos im Shop unter www.vde.com als Download zur Verfügung. Eine Liste relevanter Sicherheitsstandards, die von DIN und VDE|DKE gepflegt wird, steht ebenfalls online zur Verfügung.