IT-Security Regulatory Update | August 2022

Fokus: Nationale Digitalstrategie

Highlight aus dem August 2022

Digitalstrategie: Deutschland auf dem Weg zur europäischen Top Ten

Mit der nationalen Digitalstrategie will die Bundesregierung unter anderem zu den Top Ten im europäischen Index für digitale Wirtschaft und Gesellschaft gehören und nimmt dazu auch die Themen Datenschutz und Cybersicherheit auf ihre Agenda bis 2025.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Die digitale Fitness Deutschlands steht auf der Agenda der Bundesregierung

Die Bundesregierung hat am 31. August 2022 die Digitalstrategie beschlossen. Dort weden die politischen Schwerpunkte im Querschnittsthema Digitalisierung als übergeordneter Rahmen bis 2025 gesetzt.

Hinter der Strategie steht das Leitmotiv technologischer und digitaler Souveränität Deutschlands. Aktuell findet sich die BRD auf Platz 13 des europäischen Index für die digitale Wirtschaft und Gesellschaft (DESI). Volker Wissing, Bundesminister für Verkehr und digitale Infrastruktur, strebt an hier unter die Top Ten zu kommen. Die Strategie soll keine bloße Zukunftsvision sein, sondern der konkreten Umsetzung dienen. In diesem Zuge werden drei Handlungsfelder definiert, die anhand von 18 Leuchtturmprojekten näher beschrieben werden.

Im Mittelpunkt steht eine mit Anzug bekleidete Person, die ein Tablet bedient. Kreisförmig rundherum angeordnet sind Symbole im Kontext Digitalisierung und Weiterentwicklung. Am linken und rechten Bildrand sind mittig Vernetzungslinien angeordnet, die sich mit dem Kreis verbinden.

1. Handlungsfeld: Vernetzte und digital souveräne Gesellschaft

Eines der Themen, die hier verortet sind, sind Schutz und Kompetenz im digitalen Raum. Im Fokus steht hier der Verbraucherschutz mit der Datenschutzgrundverordnung (DSGVO) als solide europäische Grundlage. Der digitale Verbraucherschutz soll aber weiter gefördert und gestärkt werden. Infolgedessen kann bis 2025 mit neuen Regulierungen zum Schutz von Verbraucherdaten gerechnet werden.

2. Handlungsfeld: Innovative Wirtschaft, Arbeitswelt, Wissenschaft und Forschung

Neben anderen Aspekten zielt die Strategie darauf, die Datenwirtschaft attraktiv, sicher und agil zu gestalten. So soll das Potential von Daten effektiv genutzt werden können. Dementsprechend soll die Verfügbarkeit von Daten sowie die Datennutzung gestärkt werden. Erste Schritte werden hier bereits mit Gaia-X getan. Im Zuge dieser setzen sich Vertrer aus Wirtschaft, Wissenschaft und Politik mit einem Vorschlag zur Dateninfrastruktur auseinander. Als nationale Grundlage ist ein Datengesetz geplant.

3. Handlungsfeld: Lernender, digitaler Staat

Unter anderem steht hier das Thema Cybersicherheit im Fokus. Sie umfasst demzufolge die Cyberinnenpolitik, die Cyberaußenpolitik sowie die Cyberverteidigung. Die Cybersicherheitsstrategie soll in diesem Zuge weiterentwickelt werden. Kritische Infrastrukturen (KRITIS) sollten sich auf gesetzliche Neuerungen einstellen, die Anforderungen an ihre Cybersicherheit sollen angepasst werden.

Als weitere Maßnahme soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Zentralstelle im Bereich IT-Sicherheit ausgebaut werden. Darüber hinaus soll die Unabhängigkeit des BSI gestärkt werden.

Neben KRITIS können sich auch Hersteller auf neue Vorgaben vorbereiten: sie sollen künftig für Schäden haften, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht wurden.

Schließlich möchte die Bundesregierung die Zusammenarbeit mit der Wirschaft stärken und u.a. Unternehmen Handlungsempfehlungen zur Cybersicherheit an die Hand geben.

Die Digitalstrategie der Bundesregierung finden Sie hier.
Mehr Details rund um die Digitalstrategie finden Sie hier auf der zugehörigen Webseite.
Informationen zu Gaia-X können hier auf deren Webseite eingesehen werden.

Quelle: © 2022 Presse- und Informationsamt der Bundesregierung, bundesregierung.de/breg-de

    ENISA beleuchtet Ransomware Attacken

    Im Rahmen einer Threat Landscape betrachtet die European Union Agency for Cybersecurity (ENISA) Ransomware Attacken und ihre Konsequenzen. Dazu hat sie 623 Vorfälle zwischen Mai 2021 und Juni 2022 gemapped. Dabei kam sie zu dem Ergebnis, dass sich die Software der Angreifer weiterentwickelt und anpasst, wodurch sie effektiver wird und mehr negative Ausgänge solcher Attacken entstehen. Im Zuge dessen empfiehlt die ENISA Unternehmen, an ihrer Resilienz zu arbeiten und eine Awareness für solche Vorfälle aufzubauen.

    Insgesamt gewann die ENISA unter anderem die folgenden wesentlichen Erkenntnisse:

    • In der Mehrheit der Fälle ist nicht bekannt, wie der Angreifer den intialen Zugriff auf die Daten erhalten hat;
    • Insgesamt konnten 47 eindeutige Akteure identifiziert werden;
    • Monatlich wurden im untersuchten Zeitraum mehr als 10 TB Daten entwendet;
    • Von den entwendeten Daten waren mehr als die Hälfte persönliche Daten im Sinne der DSGVO;
    • Über 60% der betroffenen Unternehmen haben die Ablösesumme bezahlt.

    Die Threat Landscape basiert auf einer jüngst veröffentlichten Methodologie der ENISA. Lesen Sie mehr dazu hier in unserem Update vom Juli.

    Die Landscape der ENISA finden Sie hier auf deren Webseite.

    Quelle: European Union Agency for Cybersecurity – enisa.europa.eu

    BSI befasst sich mit der Nutzung von Outsourcing im Kontext des IT-Grundschutz-Kompendiums

    Zum im Februar veröffentlichten IT-Grundschutz-Kompendium hat das BSI nun für den Baustein OPS.2.3 „Nutzung von Outsourcing“ einen Community Draft sowie eine Kreuzreferenztabelle publiziert.

    Weitere Informationen zum IT-Grundschutz-Kompendium finden Sie hier in unserem Regulatory Update vom Februar 2022.

    Mit dem Baustein wird auf die Thematik „Outsourcing“ eingegangen, um die Vertraulichkeit, Integrität und Verfügbarkeit im gesamten Outsouricng-Prozess sicherzustellen. So wird das Erkennen, die Vorbeugung und die Verminderung möglicher Gefahren unterstützt. Fokus ist hierbei die Informationssicherheit, andere Themen werden nicht gezielt aufgegriffen. Behandelt werden die Basis-Anforderungen (Muss-Anforderungen), Standard-Anforderungen (Soll-Anforderungen) sowie die Anforderungen bei erhöhtem Schutzbedarf (Soll-Anforderungen).

    In den Basis-Anforderungen sind folgende Elemente enthalten:

    • Anforderungsprofile
    • Risioorientierer Ansatz
    • Eignungsanforderungen an Anbietende
    • Vertragsanforderungen
    • Vereinbarung zur Mandatenfähigkeit
    • Sicherheitsanforderungen und -konzept
    • Exit-Maßnahmen

    Der Entwurf geht auch auf weitere Informationsquellen rund um das Outsourcing im Kontext Informationssicherheit ein.

    Den Community Draft des BSI finden Sie hier auf dessen Webseite.
    Die Kreuzrefenztabelle finden Sie hier auf der BSI-Webseite.

    Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

    Aus der Digitalstrategie ergeben sich mit hoher Wahrscheinlichkeit neue Vorgaben rund um IT-Sicherheit, Cybersicherheit und Datenschutz. Behalten Sie Neuerungen im Blick und beginnen Sie möglichst frühzeitig mit der Umsetzung!

    Wir bei ADWEKO stehen Ihnen dabei mit unserer Expertise gerne zur Seite.

    sprechen sie mit

    Pia Streicher!