Aufgrund der großen Resonanz auf den letzten BremSec-Foren zu Themen der „Industrial Security“ lud das IFIT zur Kickoff-Veranstaltung des Round Tables „IT-Sicherheit in Industrienetzen“ Anfang März bei den Stadtwerken Delmenhorst ein. Ziel war es, einen vertiefenden Erfahrungs- und Wissensaustausch im Expertenkreis zu pflegen und dies auch im Anschluss beizubehalten. Die DECOIT^® GmbH nahm aktiv an der Diskussion als IFIT-Mitglied teil und wird sich auch in Zukunft an dem Round Table beteiligen, da man in diesem Themenbereich einige Forschungsprojekte innehat.

Die Abendveranstaltung wurde von einem Vortrag der Universität Bremen zum Thema „Compliance und IT-Sicherheitsgesetz“ eingeläutet. Dabei wurde erwähnt, dass das Thema Compliance bisher juristisch nicht eindeutig definiert ist. Compliance ist aber ein Bestandteil der „Corporate Governance“, der die Grundsätze der Unternehmensführung beinhalten sollte. Der Begriff „IT Security Compliance“ beinhaltet hingegen die IT-Sicherheit und im weitesten Sinne den Datenschutz. Des Weiteren gibt es leider nicht ein IT-Sicherheitsgesetz, sondern viele verschiedene Regelungen. Man kann sich daher nicht direkt auf das IT-Sicherheitsgesetz berufen, da es nur ein Artikelgesetz ist (d.h. es wurden dadurch bestehende Gesetze geändert). Und nicht alle Sicherheitsgesetze sind wiederum für jedes Unternehmen bindend.

Für Kritische Infrastrukturen (KRITIS) müssen besonders viele Gesetze eingehalten bzw. technische und organisatorische Maßnahmen umgesetzt werden. Grundsätzlich haftet die Geschäftsführung oder der Vorstand bei Nichteinhaltung der IT-Sicherheitsgesetze – allerdings wird dies nicht exakt genug beschrieben. Dadurch ergeben sich große Schwierigkeiten in der Anwendungspraxis, vor allem für klein- und mittelständische Unternehmen (KMU). Als Beispiel wurde genannt, dass der „Stand der Technik“ nicht ausreichend definiert wird. Auch im Publikum war man sich hier nicht ganz einig, je nachdem welchen technischen Hintergrund die anwesenden Firmen hatten. Ein sog. Information Security Management System (ISMS) sollte auf jeden Fall heute den Stand der Technik darstellen. Eine regelmäßige Überprüfung und Dokumentation ist dabei ebenfalls absolut notwendig.

Grundsätzlich wurde festgehalten, dass Cyber Security den Gesetzesgeber aufgrund der interdisziplinär veranlagten Regelungsmaterie vor große Herausforderungen stellt. Und damit auch die Unternehmen, die dieses umsetzen sollen, da immerhin an die 2000 Gesetze in Europa existieren, die alle in irgendeiner Form eingehalten werden müssten. Die Universität Bremen arbeitet daher in einem Forschungsprojekt an einer entsprechenden Lösung (IT-Security Navigator), der eine Konsolidierung ermöglichen soll.

In der anschließenden Diskussion wurden viele Fragen aufgeworfen. So ist neben dem Stand der Technik und wer diesen festlegt, auch unklar, wer denn die entsprechenden Fachleute sind. Wichtig ist es auf jeden Fall, für IT-Sicherheit zu sensibilisieren. Ein zertifiziertes ISMS kann für KRITIS-Betreiber ebenfalls besonders wichtig sein, um die Gesetzesvorlagen erfüllen zu können. Rechtsprechungen zu dem Thema IT-Sicherheit werden allerdings erst in ca. 6 Jahren erwartet, da man juristisch noch stark hinterherhinkt.

Zum Abschluss des Round Tables wurde die Wassergewinnung bei den Stadtwerken Delmenhorst besichtigt, die auch für normale Führungen in Anspruch genommen werden kann. Alle Teilnehmer waren sich einig, dass das Sicherheitsthema so wichtig ist, dass es zukünftig weitere Veranstaltungen geben sollte. Aus diesem Grund ist die DECOIT^® GmbH auch seit Jahren an Forschungsprojekten beteiligt, die mehr IT-Sicherheit in das KMU-Umfeld bringen werden.