IT-Compliance: ­Neues IT-Sicherheitsgesetz betrifft viele Unternehmen in Deutschland

Die Bundesregierung hat unter der Federführung des Bundesministeriums des Innern (BMI) bereits im Dezember 2014 den Entwurf zum IT-Sicherheitsgesetz (IT-SiG) beschlossen. Die Konsequenzen, die sich daraus für Unternehmen ergeben sind vielfältig. Ein Überblick:

Hintergrund

Der digitale Wandel hat zu einer starken Vernetzung der Gesellschaft in den unterschiedlichsten Bereichen geführt – nicht nur im privaten Bereich. Sowohl Wirtschaft und Industrie, als auch der Staat und die Gesundheitsversorgung sind von einer Vielzahl von Infrastrukturen abhängig geworden. Diese Abhängigkeit wird im Laufe der nächsten Jahre noch stärker zunehmen. Die Industrie 4.0 ist die Zukunft. Hinzu kommen sämtliche Smart- und E-Services, die bisher nicht berücksichtigt wurden.[1]

Ausfälle in der Logistik- (Verkehrsinfrastruktur) und Energiebranche (Energieversorger und Netzbetreiber) können fatale Auswirkungen haben. Die meisten Berufe könnten ohne Anschluss an das Stromnetz nicht mehr ausgeübt werden. Von der Bürotätigkeit bis zu industriellen Produktionsabläufen und medizinischen Maßnahmen, all diese Bereiche sind betroffen und bei einem Ausfall oder einer Störung gefährdet.

Verstärkt wird das Risiko solcher Abhängigkeiten durch die wachsende Durchdringung einst Technologie-unabhängiger Infrastrukturen mit webbasierten Services.

Ziel des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz (IT-SiG) ist die logische und konsequente Weiterführung der bereits im Jahre 2011 beschlossenen Cybersicherheitsstrategie. Die Skandale über unberechtigte Zugriffe auf (personenbezogene) Daten häufen sich. Bewusste Angriffe auf Industrie und Wirtschaft zum Zweck der Spionage gehören zu einer reellen und ernstzunehmenden Bedrohung. Selbst staatliche Institutionen geraten immer wieder ins Visier der Hacker. Es konnten bereits Informationen über Atomkraftwerke unberechtigt ermittelt werden. Die großen Konzerne Microsoft und Sony waren jüngst Opfer eines groß angelegten Angriffs, wodurch die Spielenetzwerke beider Anbieter für längere Zeit nicht erreichbar waren.

Es lässt sich leicht ausmalen, welche erheblichen Folgen es hätte, wenn dieses technologische Wissen gegen kritische Infrastrukturen eingesetzt würde.

Das IT-Sicherheitsgesetz (IT-SiG) soll ein Mindestsicherheitsniveau und definierte Kommunikationswege schaffen, die eine Auswertung der zeitaktuellen Gefährdungslage und unverzügliche Warnungen ermöglichen. Insgesamt soll damit „die Widerstandsfähigkeit der Kommunikationsinfrastruktur insgesamt verbessert und die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit datenverarbeitender Systeme sowie der dort vorgehaltenen Daten gesichert“ werden. Dabei vermeidet das Gesetz gänzlich Neues zu schaffen. Vielmehr passt es bestehende gesetzliche Regelungen an und ergänzt diese. Dabei wird insbesondere dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) eine zentrale Rolle zugewiesen.

Ähnliche Bestrebungen bestehen auch auf europäischer Ebene.

Betroffene Zielgruppen

Betroffen sind ausschließlich kritische Infrastrukturen (KRITIS). Was kritische Infrastrukturen genau sind, legt das Gesetz nicht fest. Es trifft jedoch grundsätzliche Vorgaben, die nachträglich durch Rechtsverordnung seitens des Bundesministeriums des Innern (BMI) ausgefüllt werden können und sollen.

Kritische Infrastrukturen sind demnach alle Einrichtungen, Anlagen und Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Diese Voraussetzungen erachtet der Gesetzgeber als erfüllt, soweit es sich um (Teil-)Anlagen und Einrichtungen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen handelt. Weitere Bereiche sind jedoch ebenfalls denkbar.

Die Rechtsverordnung wird anhand dieser weitgehenden Definition einzelne Branchen und Dienstleistungen benennen. Die Gesetzesbegründung gibt Aufschluss darüber, was der Gesetzgeber sich hierunter vorstellt. Im Bereich Energie z.B. die Strom,- Gas- und Mineralölversorgung oder im Bereich Gesundheit die medizinische Versorgung einschließlich der Labore und der Versorgung mit medizinischen Produkten, wie Arzneimitteln, Impfstoffen etc. Auch das Finanz- und Versicherungswesen findet Erwähnung.

Was im Einzelfall als kritische Infrastruktur anzusehen ist, soll anhand einer individuellen, bereichsspezifischen Analyse ermittelt werden. Hierbei ist einerseits die Qualität der Dienstleistung oder des Produkts für die Gesellschaft zu berücksichtigen. Je wichtiger dies für das gesellschaftliche Leben ist, umso eher ist eine kritische Infrastruktur anzunehmen. Es soll dadurch Leib, Leben, Gesundheit und Eigentum der Bevölkerung geschützt werden. Eine nach diesem Kriterium bedeutende Infrastruktur wird erst zu einer kritischen Infrastruktur, wenn ein individuell für jeden Bereich festzulegender Schwellenwert von betroffenen Versorgungsempfängern überschritten wird. Dieser Schwellenwert wird umso geringer sein, je bedeutender die Infrastruktur für die Gesellschaft ist. Die Frage lautet hier also: wie viele Bürgerinnen und Bürger können maximal gleichzeitig auf die Versorgung verzichten. Auch wenn die Gesetzesbegründung das nicht ausdrücklich so sagt, ist hierbei auch zu berücksichtigen, ob sich der Versorgungsausfall auf eine kleine Fläche konzentriert oder weiträumig verteilt. Je verstreuter etwaige Versorgungsausfälle wären, umso geringer wäre vermutlich die gesamtgesellschaftliche Auswirkung.

Das Gesetz ist somit keine Hilfe letztendlich und sicher festzustellen, wer in Zukunft betroffen sein wird. Der Gesetzgeber schätzt ca. 2000 Unternehmen. Andere rechnen indessen mit mindestens 5000 betroffenen Unternehmen.

Bisher ausdrücklich von den Folgen des IT-Sicherheitsgesetzes verschont werden Kleinstunternehmen im Sinne einer Empfehlung der Europäischen Kommission.  Das sind all jene Unternehmen, die weniger als zehn (10) Personen beschäftigen und weniger als zwei (2) Millionen Euro Jahresumsatz erwirtschaften, soweit diese nicht zu mindestens ein Viertel (un-)mittelbar durch öffentliche Stellen kontrolliert werden. Ob dieser Ansatz gerade im Hinblick auf die vermutlich hohe Technisierung und Vernetzung der jeweiligen Infrastruktur sinnvoll ist, erscheint fraglich.

Folgen

Stark vereinfach setzt das IT-Sicherheitsgesetz auf drei Lösungsansätze. Mindeststandards, Meldepflicht und effiziente Kommunikation zwischen den Beteiligten.

Unweigerlich müssen in Zukunft alle betroffenen Unternehmen einen Mindeststandard bezüglich der IT-Sicherheit erfüllen. Die Einhaltung ist der Aufsichtsbehörde – meistens das BSI – nachzuweisen. Hierzu kann sich das Unternehmen z.B. etwaiger Audits oder Zertifikate bedienen.

Der Mindeststandard kann entweder von der Aufsichtsbehörde bestimmt werden oder durch die jeweiligen Branchen vorgeschlagen und durch die Aufsichtsbehörde angenommen werden. Hierdurch soll die Flexibilität und Aktualität leichter fallen.

Weiterhin sind (erhebliche) IT-Sicherheitsvorfälle (anonym) zu melden. Was genau hierunter zu verstehen ist, wird sich nach Inkrafttreten des Gesetzes noch herausstellen müssen. Wir werden dieses Thema in einem eigenen Beitrag genauer beleuchten. Die Meldung soll jedenfalls je nach Schwere des Vorfalls an eine eigens dazu einzurichtende Kontaktstelle oder direkt an die Aufsichtsbehörde erfolgen.

Als Aufsichtsbehörde soll grundsätzlich das BSI fungieren. Auf bestimmten Rechtsgebieten, wie z.B. dem Energiewirtschaftsrecht, bleibt – nach derzeitgem  Stand – jedoch die Bundesnetzagentur (BNetzA) als Aufsichtsbehörde zuständig. Sie wird jedoch punktuell von dem BSI unterstützt, bspw. bei der Erstellung eines Katalogs für IT-Sicherheitsanforderungen.

Die Meldungen sollen sodann ausgewertet und allen anderen Betroffenen (im Ergebnis) zur Verfügung gestellt werden. Auch Dritte sollen auf diese Daten unter bestimmten Voraussetzungen zugreifen können. Die vordefinierten Kommunikationswege dienen der Effizienzsteigerung. Durch den gemeinsamen Wissenspool sollen Lösungen – ähnlich des Konzepts von Open Knowledge – durch Schwarmintelligenz schneller entwickelt werden. Auf diese Weisen sollen Gefährdungslagen verhindert werden, bevor diese überhaupt entstehen.

Ausblick

Ob der Entwurf unverändert verabschiedet werden wird, ist fraglich. Der Gesetzesentwurf wurde von nahezu allen Experten im Rahmen der Anhörung kritisiert. Die einzelnen Kritikpunkte sollen hier in weiteren Beiträgen aufgegriffen und erklärt werden. Es ist aber bereits jetzt abzusehen, dass das IT-Sicherheitsgesetz einige Rechtsfragen offen lassen wird und somit Beratungsbedarf auslöst. Für die Unternehmen bedeutet die Einführung des Gesetzes in jedem Fall eine Investition und eine Anpassung ihrer Arbeitsabläufe. Gerne entwickeln wir zusammen mit den Unternehmen eine geeignete, gesetzeskonforme Strategie.

[1] Smart-Meter, Smart-Phone, Smart-Car, Smart-Home,  E-Pay, E-Government, E-Justice, E-Health, E-Mobility etc.


Sie haben Fragen oder möchten wissen, was wir für Sie tun können? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen. Rufen Sie uns unter der Rufnummer 0221 / 951 563 0 (Beratung bundesweit) an!


Hier gelangen Sie zurück zur Übersichtseite IT-Recht

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×