TTS-Studie untersucht Bedeutung von Informationssicherheit bei Betreibern kritischer Infrastrukturen
Die ersten Betreiber kritischer Infrastrukturen in der Energiebranche haben gerade erfolgreich ein gesetzlich gefordertes Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC27001 implementiert. Da verschärft der Gesetzgeber bereits wieder mit dem zweiten Korb der Verordnung zur Bestimmung kritischer Infrastrukturen sowie der Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS) die bestehenden Regelungen und erweitert den Kreis der relevanten Betreiber.
Wie die bereits seit 2015 und 2016 betroffenen Betreiber die Bedeutung und Umsetzung entsprechender Informationssicherheits-Maßnahmen bewerten und welche Aktivitäten aktuell auf der Agenda stehen, zeigt jetzt eine Studie des Spezialisten für Informationssicherheit, Trusted Technologies and Solutions GmbH (TTS), in Kooperation mit der BSP Business School Berlin.
Es wird deutlich, dass gesetzliche und regulatorische Anforderungen die Bedeutung der Informationssicherheit in den Unternehmen maßgeblich beeinflusst haben. Dabei schätzen die Verantwortlichen die Bedrohungsszenarien sehr differenziert ein. Eine allgemeine große Verunsicherung existiert nicht. Allerdings erachten drei Viertel der Unternehmen die Bedrohungen durch Schwachstellen in Standardsoftware als hoch. Trotz dieser gewachsenen Sensibilität für Themen rund um die IT-Sicherheit, betrachten Betreiber das betriebliche Notfall-Management für kritische Systeme überwiegend noch nicht aus Sicht der Informationssicherheit. Zudem haben die wenigsten Unternehmen Erfahrung in Aufbau und Betrieb eines ISMS. Nur ein Drittel haben aktuell geeignete Qualifikationsmaßnahmen vorgesehen.
Grundlage der Studie ist eine Befragung von Unternehmen, die zu den Sektoren der kritischen Infrastrukturen zählen, und die anschließende Auswertung von rund 90 Interviews. Von denen haben die Experten rund die Hälfte in der Energiebranche geführt. Die empirische Untersuchung zeigt auf, wie die Unternehmen zwei Jahre nach der Verabschiedung des IT-Sicherheitsgesetzes mit den daraus resultierenden Anforderungen umgehen und welche Maßnahmen und Herausforderungen sie künftig im Sinne angemessener IT-Sicherheit ins Auge fassen.
Für die Redaktionen
Journalisten haben die Möglichkeit, eine persönliche Vollversion der Studie unter https://www.tts-security.com/presse/informationssicherheit/ mit dem Benutzernamen KRITIS_Presse32 und dem Passwort WZ58Ux1fSNjRK8EO12dm herunterzuladen.
