Die Zahl der Cyber-Attacken nimmt ständig zu. Dabei werden die Angriffe immer variationsreicher und raffinierter. Dies führt dazu, dass sich die Bedrohungslage ständig ändert. Die Bundesregierung hat bereits im Jahr 2005 angefangen, einen Umsetzungsplan (UP) zum Schutz von kritischen Infrastrukturen (Kritis) zu entwickeln. Kritis sind dabei „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Zu diesen kritischen Infrastrukturen gehört neben beispielsweise der Energieversorgung und der Telekommunikation – unter bestimmten Voraussetzungen – auch der Bereich Ernährung, der den Lebensmittelhandel mit einschließt.
Mit dem Inkrafttreten des IT-Sicherheitsgesetztes sind die Betreiber von kritischen Infrastrukturen nun verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und, sofern nicht andere Spezialregelungen bestehen, diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Darüber hinaus müssen die Betreiber dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) erhebliche IT-Sicherheitsvorfälle melden.
Branchenarbeitskreis LEH
Der Branchenarbeitskreis (BAK) Lebensmittelhandel hat sich mit der Unterstützung des BSI und des EHI Retail Institute innerhalb des UP Kritis sehr früh in dem Themenfeld engagiert. In offener und kooperativer Weise unterstützten die Branchenexperten die Aktivitäten mit ihrem Wissen und ihrer Expertise.
Der BAK Lebensmittelhandel hat dabei stets auf die Besonderheiten der Branche und die daraus resultierenden Anforderungen verwiesen. Recht früh wurde erkannt, dass die Umsetzung des IT -Sicherheitsgesetzes am besten mit einem branchenspezifischen Sicherheitsstandard (B3S) ermöglicht werden kann. Unter Berücksichtigung aller Vorgaben des BSI und mit professioneller Unterstützung von Fox Certification erstellten die Teilnehmer des BAK Lebensmittelhandel mit Vertretern der Unternehmen Edeka, Kaufland, Lidl, Markant (und deren angeschlossenen mittelständischen Unternehmen des Lebensmittelhandels), Metro Cash&Carry, Netto, Penny, Real und Rewe einen branchenspezifischen Standard, der zur Eignungsprüfung vorgelegt wurde.
Aktuell wird dieser Standard vom BSI und den zuständigen Aufsichtsbehörden geprüft und wäre nach dem „B3S Wasser/Abwasser“ einer der ersten Branchenstandards, dessen Eignung festgestellt wird. Weitere Einzelhandelsunternehmen haben Interesse an dem Standard bekundet. Sie können den B3S nutzen, um die zur Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern – sicherlich nicht nur für Kritis- Betreiber eine sinnvolle Maßnahme.
Foto: Fotolia/mpix-foto
Weitere Informationen: www.kritis.bund.de und acar@ehi.org
Die Phishing-Attacke: Angeln nach Zugangsdaten
Bei einer Phishing-Attacke oder einem Phishing-Betrug versenden Kriminelle eine E-Mail, in der sie die Identität einer anderen Person oder eines anderen Unternehmens vortäuschen, um dem Opfer vertrauliche Informationen zu entlocken. Gelingt eine Attacke, drohen betroffenen Unternehmen hohe Kosten.
EU-Regularien für Datenschutz und IT-Sicherheit
Die EU hat sich zum Ziel gesetzt, den Datenschutz und die IT-Sicherheit deutlich zu verbessern. Was jahrelang geplant wurde, wird in etwa einem halben Jahr konkret. Thorsten Henning von Palo Alto Networks klärt auf, was Einzelhändler beachten müssen.