Ein Beitrag von Reiner Dapper, REVIDATA GmbH
Frage: Was müssen wir uns unter dem IT-Sicherheitsgesetz vorstellen?
Genau genommen sprechen wir von dem „Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme“.
Liest oder hört man den Namen „IT-Sicherheitsgesetz“ (IT-SiG), erhält man den Eindruck, dass es sich um ein eigenes Gesetz handelt. Dies ist jedoch nicht der Fall. Vielmehr handelt es sich um ein sog. Artikelgesetz. Das Wesentliche von Artikelgesetzen ist, dass sie bestehende Gesetze ergänzen oder ändern. Das IT-SiG enthält entsprechend sieben Artikel, welche Änderungen oder Ergänzungen in den nachfolgenden Gesetzen vornehmen:
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), Atomgesetz (AtomG), Energiewirtschaftsgesetz (EnWG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG), Bundesbesoldungsgesetz (BSG), Bundeskriminalamtsgesetz (BKAG).
Frage: Was ist das Ziel dieses Gesetzes?
Aufgrund der Bedrohungslage durch natürliche Gefahren, wie Extremwetter, Erdbeben oder Epidemien oder durch menschliche Handlungen hervorgerufene Gefahren, wie Unfälle, Sabotage, Terrorismus oder sogar Krieg sieht der Gesetzgeber Handlungsbedarf, um besonders die „Kritischen Infrastrukturen“ in Deutschland zu schützen.
Das IT-SiG soll dieser Schutzfunktion Ausdruck verleihen.
Das ausgewiesene Ziel des Gesetzes ist deshalb die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, aber auch eine Erweiterung der Kom
petenzen von Bundesamt für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA).
Zum einen soll durch entsprechende Verpflichtungen der Betreiber „Kritischer Infrastrukturen“ ein Mindeststandard der IT-Sicherheit erreicht werden und zum anderen soll durch die Meldepflicht von Sicherheitsvorfällen der Staat durch das BSI in die Lage versetzt werden, ein aktuelles Lagebild über die Sicherheits- und Gefährdungslage zu erstellen und darauf reagieren zu können.
Frage: Was müssen wir uns unter „Kritischen Infrastrukturen“ vorstellen?
Unsere Gesellschaft ist heute mehr als jemals zuvor von technischen Systemen abhängig. Nahezu jeder Bereich unseres täglichen Lebens wird durch moderne Technik unterstützt. Ausfälle oder Versorgungsengpässe können zu erhebliche Störungen der öffentlichen Sicherheit oder zu anderen dramatischen Folgen führen.
So ist beispielsweise unsere Gesellschaft in hohem Maße von einer funktionierenden Energieversorgung abhängig. Ohne die Versorgung mit Strom und Gas kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen. Lebensnotwendige Dienstleistungen wie Wasserversorgung, Verkehr, Ernährung und Gesundheitswesen können nicht mehr erbracht werden.
Bereits nach den Terroranschlägen in New York am 11. September 2001 begann die Bundesregierung Ihren Fokus auf den Schutz der Informationsinfrastrukturen zu richten und erweiterte den Betrachtungsrahmen im Rahmen der „Cyber Sicherheitsstrategie“ im Jahr 2011 auf die „Kritischen Infrastrukturen“.
Bis heute sind die „Kritischen Infrastrukturen“ mit 9 Sektoren benannt und über 25 Branchen. Dazu gehören neben den Sektoren „Staat und Verwaltung“ die Sektoren Energie, Gesundheit, Transport und Verkehr, Ernährung, Wasser, Informationstechnik und Telekommunikation, Medien und Kultur und Finanz- und Versicherungswesen.
Von den Branchen seien beispielhaft genannt: Elektrizität, Gas, Mineralöl, Luftfahrt, Straßenverkehr, Schifffahrt, Ernährungswirtschaft. Banken, Versicherungen, Medizinische Versorgung und Arzneimittel.
Durch Abhängigkeiten zwischen einzelnen Sektoren oder Branchen wird das Risiko von Ausfällen noch verstärkt. So können Ausfälle in einem Sektor zu Ausfällen in anderen Sektoren führen und dadurch einen Dominoeffekt auslösen. Beispielsweise führt der Ausfall der Stromversorgung zum Ausfall der Wasserversorgung oder der Kommunikationstechnik. Dies wiederum kann die medizinische Versorgung, den Straßenverkehr, den Rundfunk und vieles mehr in Mitleidenschaft ziehen.
Das IT-SiG setzt gerade dort an, wo eine moderne Gesellschaft Ausfälle nicht gebrauchen kann: bei den IT-Systemen, Komponenten oder Prozessen dieser „Kritischen Infrastrukturen“.
Frage: Wer ist überhaupt Betreiber einer „Kritischen Infrastruktur“?
Das Gesetz sieht vor, dass das Bundesministerium des Inneren durch eine Rechtsverordnung bestimmt, welche Einrichtungen oder Anlagen als „Kritische Infrastrukturen“ im Sinne dieses Gesetz gelten.
Wer also ein Betreiber „Kritischer Infrastrukturen“ ist, kann erst nach Verabschiedung der entsprechenden Rechtsverordnung festgestellt werden. Durch diese Rechtsverordnung werden messbare und nachvollziehbare Kriterien definiert, so dass Betreiber prüfen können, ob sie unter den Regelungsbereich fallen. Es werden branchenspezifische Schwellenwerte im jeweiligen Sektor bestimmt. Der Regelschwellenwert beträgt hierbei 500.000 versorgte Personen.
Frage: Bedeutet dieser hohe Schwellenwert nicht eine Entwarnung für die meisten Unternehmer der betroffenen Branchen?
Auch wenn die meisten Unternehmen nicht als Betreiber Kritischer Infrastrukturen einzuordnen sind, werden die Branchenspezifischen Sicherheitsstandards einen anerkannten Rahmen bilden, den diese Unternehmen als Grundlage zum Aufbau eines Sicherheitsstandards verwenden sollten.
Die Umsetzung von Methoden und Anforderungen, angelehnt an diese branchenspezifischen Sicherheitsstandards geben dem Unternehmen Handlungssicherheit für geplante und umgesetzte Maßnahmen, da diese durch den Branchenverband als geeignet erklärt werden.
Dies kann auch als Nachweis für den erfolgreichen Aufbau eines hohen Sicherheitsniveaus herangezogen werden.
In diesem Zusammenhang sollte auch erwähnt werden, dass das BSI den IT-Grundschutzkatalog grundlegend modernisiert, nicht nur mit dem Ziel, diesen einfacher zu gestalten, sondern auch um branchenspezifische Anforderungen berücksichtigen zu können.
Frage: Was fordert das IT-Sicherheitsgesetz genau?
Das IT-SiG fordert von den Betreibern „Kritischer Infrastrukturen“ die Einhaltung eines Mindestniveaus an IT-Sicherheit. Dadurch werden die Betreiber „Kritischer Infrastrukturen“ verpflichtet, die wichtigen Informationstechnischen Systeme, Komponenten oder Prozesse angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre zertifizieren zu lassen.
Es wird jedoch kein konkreter Sicherheitsstandard formuliert, sondern ausgeführt, dass die Betreiber „Kritischer Infrastrukturen“ in Zusammenarbeit mit den Branchenverbänden „Branchenspezifische Sicherheitsstandards“ vorschlagen können. Diese „Branchenspezifischen Sicherheitsstandards“ werden dann vom BSI auf Eignung geprüft.
Des Weiteren müssen Betreiber Kritischer Infrastrukturen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einer Beeinträchtigung oder Ausfall der Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen führen können oder geführt haben, unverzüglich an das BSI melden.
Frage: Gibt es einen konkreten Zeitplan für die Umsetzung des IT-Sicherheitsgesetz?
Der Zeitplan sieht vor, dass die Rechtsverordnungen für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation im Frühjahr 2016 in Kraft treten. Bis zum Ende des Jahres 2016 folgen dann die Rechtsverordnungen für die übrigen Sektoren Transport und Verkehr, Gesundheitswesen und der Sektor Finanz- und Versicherungswesen.
Nach Inkrafttreten der Rechtsverordnung besteht eine sofortige Meldepflicht über erhebliche Störungen der IT an das BSI.
6 Monate nach Inkrafttreten der Rechtsverordnung ist eine Kontaktstelle für den Informationsaustausch and das BSI zu benennen.
2 Jahre nach Inkrafttreten der Rechtsverordnung haben die Betreiber Kritischer Infrastrukturen den Nachweis zu erbringen, dass die IT-Systeme, Komponenten oder Prozesse den IT-Sicherheitsstandards gemäß dem IT-SiG genügen.
Frage: Welche Konsequenzen ergeben sich für die Betroffenen aus dem IT-Sicherheitsgesetz?
Die „Branchenspezifischen Sicherheitsstandards“ beinhalten einen Rahmen, der die branchenspezifischen Gefährdungen, Anforderungen an Risikobehandlung und angemessene Vorkehrungen beschreibt.
Ausgehend von den Bedrohungskategorien, wie Terroristische Akte, Naturgefahren, Unbefugter Zugriff, Gezielte Störung durch Diebstahl, Verlust, Zerstörung oder Schadsoftware und Schwachstellen wie Organisatorische Mängel, Technische Schwachstellen und Andere werden technische und organisatorische Maßnahmen aufgeführt zum Schutz der Informationssicherheit. Diese Aufzählungen erfolgen enumerativ und beinhalten nur das Mindestmaß an zu behandelnden Bedrohungen und Schwachstellen.
Eine weitere wesentliche Anforderung aus dem IT-SiG besteht in der Einführung und des Betriebes eines Informations-Sicherheits-Management-Systems auf Basis der internationalen Norm ISO/IEC 27001 oder auf Basis des IT-Grundschutzes. Ausgehend von dieser Norm ergeben sich weitergehende Forderungen, beispielsweise nach einem Risikomanagement, Notfallmanagement und oder umfangreiche Dokumentationsverpflichtungen. Um die Anforderungen gemäß dieser Norm oder des IT-Grundschutzes zu erfüllen sind somit umfängliche Maßnahmen notwendig, die einen erheblich Aufwand an Zeit und Geld erfordern.
Unter diesen Umständen ist der Zeitrahmen von zwei Jahren bis zum ersten erfolgreichen Nachweis der Umsetzung dieser Forderung nicht üppig bemessen.
Frage: Ergeben sich aus dem IT-Sicherheitsgesetz auch Konsequenzen für die „Nicht Betroffenen“?
Wie anfangs bereits erwähnt, sind die nichtbetroffen Unternehmen der „kritischen Branchen“ von diesen Forderungen nach umfänglichen und aufwendigen Maßnahmen nicht direkt betroffen. Aber die Unternehmen können diese verpflichtenden Sicherheitsstandards nicht einfach ignorieren. Der Maßnahmenkatalog ist ja nicht deswegen unsinnig, nur weil das Unternehmen unter dem ermittelten Schwellenwert für die Betreiber „Kritischer Infrastrukturen“ liegt. Die Probleme und Gefährdungen eines Wasserwerkes bleiben gleich, egal, ob 600.000 Menschen in Düsseldorf versorgt werden müssen oder 350.000 in Wuppertal.
Nach einer erheblichen Störung wird sich das betroffene Unternehmen unangenehmen Fragen nach dem realisierten Sicherheitsniveau stellen müssen. In diesem Falle ist der Nachweis allgemein akzeptierter und geeigneter Maßnahmen auf Basis der „Bereichsspezifischen Sicherheitsstandards“ möglich und kann als Argument zur Enthaftung der Unternehmensleitung dienen.
Somit ist zu vermuten, dass sich mittelfristig diese „Branchenspezifischen Sicherheitsstandards“, wenn auch in verminderten Umfang, durchsetzen als das, was sie sind. Standards.
Weitere Informationen finden Sie unter www.revidata.de.
Reiner Dapper arbeitet seit vielen Jahren als verantwortlicher IT-Leiter in unterschiedlichen Branchen. Zudem ist er zertifizierter Datenschutzbeauftragter, Qualitätsmanager und Projektmanager. Verantwortlich für die Bereiche IT-Sicherheit, Datensicherheit und Prozesssicherheit vervollständigt er als freiberuflicher Mitarbeiter das REVIDATA Kompetenzteam.