Quelle: Swiss Infosec
Security Post: Security & Privacy ohne Wenn und Aber
von Reto C. Zbinden, Gründer und Inhaber der Swiss Infosec AG
Artikel erschienen in Swiss IT Reseller 2024/03
Artikel erschienen in Swiss IT Reseller 2024/03
Liebes Informationssicherheitsgesetz
Viele Kräfte mussten gesammelt werden, um Dich am 1. Januar 2024 endlich in Kraft zu setzen. Dass Informationssicherheit für den optimalen Schutz von Daten und Informationen unabdingbar ist, hat sich zwar längstens herumgesprochen. Und dass beim Thema Informationssicherheit auch Informatikmittel (IT Security) und Datenschutz (Privacy) mitgemeint sind – klar doch. Trotzdem hat es tatsächlich ziemlich lange gedauert, bis Du geboren wurdest. Aber jetzt bist Du ja da und mit Dir vier Verordnungen, von denen eine bereits angepasst wird. Das nennt man einen schnellen Entwicklungsprozess.
Du verpflichtest Behörden des Bundes und der Kantone genauso zu deiner Umsetzung wie privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen, und nimmst Betreiber von kritischen Infrastrukturen in die Pflicht. So weit, so gut. Gleichwohl stelle ich fest, dass man im Umgang mit Dir trotz umfassender Vorgaben und Ausführungen noch ziemlich unsicher ist. Wie bringen Behörden das Ganze unter einen Hut, ohne die Angemessenheit aussen vorzulassen oder – anders gesagt – ohne das Kind mit dem Bade auszuschütten? Sind alle Spitäler kritische Infrastrukturen? Was bedeutest du konkret für privatrechtliche Unternehmen? Ist ein Informationssicherheitsmanagementsystem (ISMS) in jedem Fall ein Muss? Und was ist mit der Meldepflicht?
Viele Kräfte mussten gesammelt werden, um Dich am 1. Januar 2024 endlich in Kraft zu setzen. Dass Informationssicherheit für den optimalen Schutz von Daten und Informationen unabdingbar ist, hat sich zwar längstens herumgesprochen. Und dass beim Thema Informationssicherheit auch Informatikmittel (IT Security) und Datenschutz (Privacy) mitgemeint sind – klar doch. Trotzdem hat es tatsächlich ziemlich lange gedauert, bis Du geboren wurdest. Aber jetzt bist Du ja da und mit Dir vier Verordnungen, von denen eine bereits angepasst wird. Das nennt man einen schnellen Entwicklungsprozess.
Du verpflichtest Behörden des Bundes und der Kantone genauso zu deiner Umsetzung wie privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen, und nimmst Betreiber von kritischen Infrastrukturen in die Pflicht. So weit, so gut. Gleichwohl stelle ich fest, dass man im Umgang mit Dir trotz umfassender Vorgaben und Ausführungen noch ziemlich unsicher ist. Wie bringen Behörden das Ganze unter einen Hut, ohne die Angemessenheit aussen vorzulassen oder – anders gesagt – ohne das Kind mit dem Bade auszuschütten? Sind alle Spitäler kritische Infrastrukturen? Was bedeutest du konkret für privatrechtliche Unternehmen? Ist ein Informationssicherheitsmanagementsystem (ISMS) in jedem Fall ein Muss? Und was ist mit der Meldepflicht?
Es sind Fragen, die umtreiben und auf die Antworten gefunden werden müssen. Das Know-how von erfahrenen Spezialisten der Informationssicherheit ist dabei eine wertvolle und – seien wir ehrlich – notwendige Unterstützung. Ich finde aber auch, dass es in Anbetracht Deines Geltungsbereichs und Deiner Komplexität notwendig ist, dass sich Behörden und Unternehmen, die von Dir betroffen sind (oder glauben, von Dir betroffen zu sein), austauschen. Stichwort: Wissenstransfer. Nichts ist der (Informations-)Sicherheit nämlich so hinderlich wie Überforderung und fehlendes Wissen.
Fehlendes Wissen, ich könnte auch sagen, fehlende Sicherheitskompetenz, gefährdet die Sicherheit. Fehlendes Wissen ist aber auch für Umwege und zeitraubende Zusatzschlaufen verantwortlich. Das kostet Zeit und Nerven. Du hast zwar in weiser Voraussicht bei gewissen Punkten (Klassifizierungskatalog, Schutzbedarfsanalyse und Aufbau ISMS) Übergangsfristen vorgesehen, weil Du weisst, dass es manchmal einen gewissen Druck braucht, um in die Gänge zu kommen (und natürlich, weil Du dir des Aufgabenumfangs durchaus bewusst bist.). Trotzdem sind es – zumindest für Unvorbereitete – sportliche Herausforderungen für einen kurzen Weg.
Als einer jener Menschen, die sich gefühlt schon ewig mit Informationssicherheit befassen (lass dich nicht von meinem Profilbild täuschen), bin ich sehr froh, dass es Dich (endlich) gibt und Du eine Lanze für die Informationssicherheit brichst. Vielleicht bist Du ja mehr als ein Gesetz und in Tat und Wahrheit ein Leuchtturm für mehr Sicherheit. Einer, der den Blick auf verschiedene Aspekte der Sicherheit lenkt und bestenfalls mehr als nur Behörden und betroffenen Unternehmen und Organisationen den Weg zu Sicherheit beleuchtet.
In diesem Sinne: Schön, dass es Dich gibt. Wir werden uns noch oft sehen, liebes ISG.
Fehlendes Wissen, ich könnte auch sagen, fehlende Sicherheitskompetenz, gefährdet die Sicherheit. Fehlendes Wissen ist aber auch für Umwege und zeitraubende Zusatzschlaufen verantwortlich. Das kostet Zeit und Nerven. Du hast zwar in weiser Voraussicht bei gewissen Punkten (Klassifizierungskatalog, Schutzbedarfsanalyse und Aufbau ISMS) Übergangsfristen vorgesehen, weil Du weisst, dass es manchmal einen gewissen Druck braucht, um in die Gänge zu kommen (und natürlich, weil Du dir des Aufgabenumfangs durchaus bewusst bist.). Trotzdem sind es – zumindest für Unvorbereitete – sportliche Herausforderungen für einen kurzen Weg.
Als einer jener Menschen, die sich gefühlt schon ewig mit Informationssicherheit befassen (lass dich nicht von meinem Profilbild täuschen), bin ich sehr froh, dass es Dich (endlich) gibt und Du eine Lanze für die Informationssicherheit brichst. Vielleicht bist Du ja mehr als ein Gesetz und in Tat und Wahrheit ein Leuchtturm für mehr Sicherheit. Einer, der den Blick auf verschiedene Aspekte der Sicherheit lenkt und bestenfalls mehr als nur Behörden und betroffenen Unternehmen und Organisationen den Weg zu Sicherheit beleuchtet.
In diesem Sinne: Schön, dass es Dich gibt. Wir werden uns noch oft sehen, liebes ISG.
Reto C. Zbinden
Reto C. Zbinden hat 1989 Swiss Infosec gegründet. Das Unternehmen mit Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC über 100 Mitarbeitende.Artikel kommentieren
