Navigation öffnen

Seit 2015 gilt in Deutschland ein IT-Sicherheitsgesetz. Es hat zum Ziel, Mindeststandards der IT-Sicherheit in bestimmten Branchen zu schaffen, die besonders sensibel für die Versorgung der Bevölkerung sind. Diese sollen sich besser vor Cyberangriffen schützen.

Der digitale Wandel hat zu einer starken Vernetzung der Gesellschaft in den unterschiedlichsten Bereichen geführt – nicht nur im privaten Bereich. Sowohl Wirtschaft und Industrie als auch der Staat und die Gesundheitsversorgung sind von einer Vielzahl von Infrastrukturen abhängig geworden. Diese Abhängigkeit wird im Laufe der nächsten Jahre noch stärker zunehmen. Die Industrie 4.0 ist die Zukunft. Hinzu kommen sämtliche Smart- und E-Services, die bisher nicht berücksichtigt wurden.

Glasfaserkabel

Ausfälle in der Logistik- (Verkehrsinfrastruktur) und Energiebranche (Energieversorger und Netzbetreiber) vor allem durch Cyberangriffe können fatale Auswirkungen haben. Die meisten Berufe könnten ohne Anschluss an das Stromnetz nicht mehr ausgeübt werden. Von der Bürotätigkeit bis zu industriellen Produktionsabläufen und medizinischen Maßnahmen, all diese Bereiche sind betroffen und bei einem Ausfall oder einer Störung gefährdet.

Verstärkt wird das Risiko solcher Abhängigkeiten durch die wachsende Durchdringung einst Technologie-unabhängiger Infrastrukturen mit webbasierten Services.

Ziel des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz (IT-SiG) ist die logische und konsequente Weiterführung der bereits im Jahre 2011 beschlossenen Cybersicherheitsstrategie. Die Skandale über unberechtigte Zugriffe auf (personenbezogene) Daten häufen sich. Bewusste Angriffe auf Industrie und Wirtschaft zum Zweck der Spionage gehören zu einer reellen und ernstzunehmenden Bedrohung. Selbst staatliche Institutionen geraten immer wieder ins Visier der Hacker. Es konnten bereits Informationen über Atomkraftwerke unberechtigt ermittelt werden. Sogar die großen Konzerne Microsoft und Sony sind bereits Opfer eines groß angelegten Angriffs geworden, wodurch die Spielenetzwerke beider Anbieter für längere Zeit nicht erreichbar waren. Es lässt sich leicht ausmalen, welche erheblichen Folgen es hätte, wenn dieses technologische Wissen gegen kritische Infrastrukturen eingesetzt würde.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, kurz IT-SiG), das im Juli 2015 in Kraft getreten ist, soll ein Mindestsicherheitsniveau und definierte Kommunikationswege schaffen, die eine Auswertung der zeitaktuellen Gefährdungslage und unverzügliche Warnungen ermöglichen. Insgesamt soll damit „die Widerstandsfähigkeit der Kommunikationsinfrastruktur insgesamt verbessert und die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit datenverarbeitender Systeme sowie der dort vorgehaltenen Daten gesichert“ werden. Dabei vermeidet das Gesetz, gänzlich Neues zu schaffen. Vielmehr passt es bestehende gesetzliche Regelungen an und ergänzt diese. Dabei wird insbesondere dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) eine zentrale Rolle zugewiesen.

Betroffene Unternehmen – kritische Infrastrukturen (KRITIS)

Betroffen sind ausschließlich kritische Infrastrukturen (KRITIS. Kritische Infrastrukturen sind alle Einrichtungen, Anlagen und Teile davon, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Diese Voraussetzungen erachtet der Gesetzgeber als erfüllt, soweit es sich um (Teil-)Anlagen und Einrichtungen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen handelt.

Sicherheit von Daten

Was im Einzelfall als kritische Infrastruktur anzusehen ist, soll anhand einer individuellen, bereichsspezifischen Analyse ermittelt werden. Hierbei ist einerseits die Qualität der Dienstleistung oder des Produkts für die Gesellschaft zu berücksichtigen. Je wichtiger dies für das gesellschaftliche Leben ist, umso eher ist eine kritische Infrastruktur anzunehmen. Es soll dadurch Leib, Leben, Gesundheit und Eigentum der Bevölkerung geschützt werden. Eine nach diesem Kriterium bedeutende Infrastruktur wird erst zu einer kritischen Infrastruktur, wenn ein individuell für jeden Bereich festzulegender Schwellenwert von betroffenen Versorgungsempfängern überschritten wird. Dieser Schwellenwert wird umso geringer sein, je bedeutender die Infrastruktur für die Gesellschaft ist. Die Frage lautet hier also: wie viele Bürgerinnen und Bürger können maximal gleichzeitig auf die Versorgung verzichten. Auch wenn die Gesetzesbegründung das nicht ausdrücklich so sagt, ist hierbei auch zu berücksichtigen, ob sich der Versorgungsausfall auf eine kleine Fläche konzentriert oder weiträumig verteilt. Je verstreuter etwaige Versorgungsausfälle wären, umso geringer wäre vermutlich die gesamtgesellschaftliche Auswirkung.

KRITIS Korb I und II

Diese allgemeinen Kriterien des Gesetzes wurden dann nachträglich durch den am 3. Mai 2016 in Kraft getretenen erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes ausgefüllt, die am 21. Juni 2017 geändert wurde.

Die Rechtsverordnung und seine Änderung benennen anhand dieser weitgehenden Definition folgende Branchen und Dienstleistungen:

Serverraum
  • Energie
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Gesundheit
  • Finanz- und Versicherungswesen
  • Transport und Verkehr

Als kritische Infrastrukturen einzustufen sind Einrichtungen, Anlagen oder Teile der oben genannten Branchen.

Zu den kritischen Infrastrukturen zählen mit der Änderung der KRITIS-Verordnung:

Bank mit Spiegelung von Geldscheinen
  • Krankenhäuser
  • Einrichtungen zur Medikamentenversorgung
  • Anlagen für die Bargeldversorgung
  • Versicherungsdienste
  • IT-Anlagen im Schienen- und 79 im Straßenverkehr

Die Schwellenwerte für die Bestimmung, ob eine Einrichtung als kritische Infrastruktur zu werten ist, lassen sich den Tabellen in der Änderung zur Verordnung entnehmen.

Bisher ausdrücklich von den Folgen des IT-Sicherheitsgesetzes verschont werden die Kleinstunternehmen im Sinne einer Empfehlung der Europäischen Kommission. Das sind all jene Unternehmen, die weniger als zehn Personen beschäftigen und weniger als zwei Millionen Euro Jahresumsatz erwirtschaften, soweit diese nicht zu mindestens ein Viertel (un-)mittelbar durch öffentliche Stellen kontrolliert werden. Ob dieser Ansatz gerade im Hinblick auf die vermutlich hohe Technisierung und Vernetzung der jeweiligen Infrastruktur sinnvoll ist, erscheint fraglich.

Welche Pflichten erwachsen für betroffene Unternehmen aus dem IT-Sicherheitsgesetz?

KRITIS-Unternehmen wurden dazu verpflichtet, der BSI eine Kontaktstelle zu benennen. Stark vereinfacht setzt das IT-Sicherheitsgesetz auf drei Lösungsansätze, um eine grundlegende IT-Sicherheit der kritischen Systeme zu gewährleisten. Dazu gehören Mindeststandards und deren Nachweis an die BSI, eine Meldepflicht bei Sicherheitsvorfällen und effiziente Kommunikation zwischen den Beteiligten.

Mindeststandards und deren Nachweis

Unweigerlich müssen alle betroffenen Unternehmen einen Mindeststandard bezüglich der IT- Sicherheit erfüllen. Die Einhaltung ist der Aufsichtsbehörde – meistens das BSI – nachzuweisen. Hierzu kann sich das Unternehmen z.B. etwaiger Audits oder Zertifikate bedienen.

Die folgenden Punkte sind in Bezug auf die IT-Sicherheit besonders zu beachten:

IT-Sicherheit und Daten
Hacker using laptop. Lots of digits on the computer screen.
  • die Gewährleistung der Sicherheit der Systeme und Anlagen,
  • das Erkennen, Analysieren und Eindämmen von Sicherheitsvorfällen (SIM),
  • die Sicherstellung der Betriebskontinuität (BCM),
  • die ständige Überwachung, Überprüfung und Erprobung ihrer IT-Systeme,
  • die Einhaltung internationaler Normen.

Der Mindeststandard kann entweder von der Aufsichtsbehörde bestimmt werden oder durch die jeweiligen Branchen vorgeschlagen und durch die Aufsichtsbehörde angenommen werden. Hierdurch soll die Flexibilität und Aktualität leichter fallen.  Eine gute Grundmaßnahme könnte eine ISO-27001-.Zertifizierung auf Basis von IT-Grundschutz oder ISO27001 sein. Wer eine solche auf BSI IT-Grundschutz basierende oder native ISO27001-Zertifizierung vorlegt, der hat die Voraussetzungen zur Erfüllung der Anforderungen gemäß § 8a (1) und (3) BSIG geschaffen. Wichtig ist aber  nachweisen zu können, dass sowohl der Scope/Geltungsbereich als auch die Maßnahmen geeignet sind, um die kritischen Dienstleistungen ausreichend zu schützen.

 Weiterhin besteht die Möglichkeit der Umsetzung branchenspezifischer Sicherheitsstandards (B3S) zur Erfüllung der Anforderungen des IT-Sicherheitsgesetzes. In den B3S wird neben umzusetzenden Sicherheitsmaßnahmen auch festgelegt, wie die Prüfung für Nachweise auszusehen hat. Um sicherzustellen, dass die Maßnahmen im B3S ein angemessenes Sicherheitsniveau haben, wurde vom BSI zum einen eine Orientierungshilfe für § 8a (2) veröffentlicht und zum anderen müssen die B3S vom BSI freigegeben werden. Aus Sicht des BSI soll die Erarbeitung eines B3S vorzugsweise in den Branchenarbeitskreisen (BAK) des UP KRITIS erfolgen.

Sollten diese Ausreichend sein können auch bereits vorhandene Prüfungen, wenn sie nicht älter als ein Jahr sind vorgelegt werden.

Meldepflicht

Weiterhin sind (erhebliche) IT-Sicherheitsvorfälle (anonym) zu melden. Die Meldung soll je nach Schwere des Vorfalls an eine eigens dazu einzurichtende Kontaktstelle oder direkt an die Aufsichtsbehörde erfolgen. Ziel dieser neuen Meldepflichten ist es, die Informationstechnik gegenüber Angriffen Dritter abzusichern.

Als Aufsichtsbehörde soll grundsätzlich das BSI fungieren. Auf bestimmten Rechtsgebieten, wie z.B. dem Energiewirtschaftsrecht, bleibt jedoch die Bundesnetzagentur (BNetzA) als Aufsichtsbehörde zuständig. Sie wird jedoch punktuell von dem BSI unterstützt, bspw. bei der Erstellung eines Katalogs für IT-Sicherheitsanforderungen.

Die Meldungen sollen sodann ausgewertet und allen anderen Betroffenen (im Ergebnis) zur Verfügung gestellt werden. Auch Dritte sollen auf diese Daten unter bestimmten Voraussetzungen zugreifen können. Die vordefinierten Kommunikationswege dienen der Effizienzsteigerung. Durch den gemeinsamen Wissenspool sollen Lösungen – ähnlich des Konzepts von Open Knowledge – durch Schwarmintelligenz schneller entwickelt werden. Auf diese Weisen sollen Gefährdungslagen verhindert werden, bevor diese überhaupt entstehen.

Die geforderten Schutzmaßnahmen für den Betrieb der Kritischen Infrastruktur gelten aber auch für nachgelagerte Dienstleistungen und Prozesse. Die Anforderungen hinsichtlich der IT-Sicherheit übertragen sich von den Betreibern auf deren Subunternehmen.

Weitere Meldepflichten außerhalb des IT-Sicherheitsgesetzes  

Bereits vor der Verabschiedung des IT-Sicherheitsgesetzes mussten bestimmten Informationen gegenüber Behörden mitgeteilt werden – so z.B. durch Betreiber von Energieversorgungsnetzen

Freiwillige Meldepflichten

Aus einer gemeinsamen Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) ist die Allianz für Cyber-Sicherheit erwachsen. Die Teilnehmer melden freiwillig etwaige Vorkommnisse an den Verbund, z.B. über das Online-Formular. Ziel ist es, eine umfangreiche Wissensbasis zu schaffen um in konkreten Gefahrensituationen sinnvoll reagieren zu können. Hierbei werden die freiwilligen Informationen auch den Teilnehmern in einem Lagebericht zusammengefasst bereitgestellt.

Gesetzliche Meldepflichten

Zur Sicherung der Stabilität der Versorgungsnetze

Es bestehen aber auch Meldepflichten nach sonstigen, spezialgesetzlichen Regelungen. Das zentrale Anliegen dieser Vorschriften ist aber verständlicherweise nicht die IT-Sicherheit. Vielmehr ist beispielweise Ziel des § 52 Energiewirtschaftsgesetz (EnWG) die Stabilität des Versorgungsnetzes als solches. Dementsprechend sind etwaige Versorgungsunterbrechungen gegenüber der Bundesnetzagentur (BNetzA) zu melden. Hierbei ist vorgeschrieben, wie genau die Störung zu beschreiben ist. Daneben sind auch konkrete Maßnahmen zu benennen, wie der Netzbetreiber zukünftig Störungen der gemeldeten Art vermeiden möchte. Die digitale Meldung kann gesammelt in einem jährlichen Bericht – bis zum 30. April eines jeden Jahres – erfolgen. Ein Verstoß wird nicht sanktioniert.

Zum Schutz personenbezogener Daten (der Verbraucher)

Zudem sieht z.B. auch die Datenschutzgrundverordnung (DSGVO) in Art. 33 Meldepflichten bei Datenpannen (Incidents) vor. Danach müssen grundsätzlich alle Verletzungen des Schutzes personenbezogener Daten wie etwa Hacker-Angriffe, Datenverlust oder –leaks der Aufsichtsbehörde gemeldet werden. Ein Verstoß gegen diese Meldepflicht ist mit empfindlichen Bußgeldern bewehrt.

DSGVO

Wie WBS Ihnen helfen kann

Für die Unternehmen bedeutet das Gesetz in jedem Fall eine Investition und eine Anpassung ihrer Arbeitsabläufe. Gerne entwickeln wir zusammen mit den Unternehmen eine geeignete, gesetzeskonforme Strategie.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.


Aktuelle Videos zum IT-Recht