Kritische Infrastrukturen

Das IT-Sicherheitsgesetz lässt noch viele Fragen unbeantwortet

Sven Steinert ist Berater Informationssicherheit & Datenschutz bei AirITSystems.
Am 12. Juni 2015 verabschiedete der Bundestag das IT-Sicherheitsgesetz - mit weit reichenden Folgen für viele Unternehmen. Doch noch lässt die Gesetzesgrundlage Raum für Spekulation. Nicht immer ist klar, was die neue Rechtslage erfordern wird.

Erst Anfang des Jahres gelang es Hackern in das Netzwerk des Bundestags einzudringen und in bisher ungeklärtem Umfang Daten abzuzweigen. Ende Juni legten Computer-Attacken auf eine polnische Airline den Flugbetrieb in Warschau lahm. 2014 nahm eine Gruppe Cyberkrimineller westliche Energieunternehmen ins Visier und sabotierte deren Infrastruktur. Im gleichen Jahr erbeuteten Hacker in den USA Daten von 4,5 Millionen Patienten. Für großen Wirbel sorgte - sogar unter IT-Sicherheitsexperten - die Manipulation der iranischen Atomanlagen mittels des Computerwurms Stuxnet.

Ein volles Haus sieht anders aus: Thomas de Maiziere spricht zum IT-Sicherheitsgesetz. Die kunstvolle Aufnahme stammt aus dem Bundesinnenministerium
Ein volles Haus sieht anders aus: Thomas de Maiziere spricht zum IT-Sicherheitsgesetz. Die kunstvolle Aufnahme stammt aus dem Bundesinnenministerium
Foto: Henning Schacht

Diese Beispiele zeigen, dass die Bedrohungen für Unternehmen mit kritischer Infrastruktur (KRITIS) ernst zu nehmen sind. Um KRITIS besser zu schützen, hat die Bundesregierung im Juni das IT-Sicherheitsgesetz verabschiedet. Es betrifft im weitesten Sinne Unternehmen der Branchen Energie, Informationstechnik, Telekommunikation, Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Durch die zunehmende Digitalisierung und Verzahnung von IT und industriellen Prozessen entstehen für kritische Infrastrukturen neue Risikopotenziale, denen das Gesetz einen Riegel vorschieben soll.

Knappe Übergangsfrist

So weit, so gut und richtig - allerdings lässt der verabschiedete Gesetzesentwurf einige Fragen offen und die Unternehmen etwas hilflos dastehen. So sind die im Gesetz geforderten Maßnahmen nicht konkret ausgeführt, Begrifflichkeiten wie "Stand der Technik" schaffen eher Verwirrung als Klarheit. Was letztendlich genau gefordert ist, wird wohl erst in der Rechtsverordnung zum IT-Sicherheitsgesetz stehen.

Wann diese verabschiedet wird, steht noch nicht fest. Klar ist hingegen, dass Unternehmen von diesem Zeitpunkt an ihre IT-Sicherheit innerhalb von zwei Jahren auf den aktuellen Stand der Technik bringen und danach auch halten müssen - andernfalls drohen Bußgelder. Experten vermuten, dass Unternehmen dazu verpflichtet werden, ein Information Security Management System (ISMS) einzuführen und nach ISO/IEC 27001 zu zertifizieren. Je nachdem wie die Firmen mit ihrer IT-Sicherheit bereits aufgestellt sind, ist eine Übergangsfrist von zwei Jahren knapp bemessen. Dennoch gibt es einige vorbereitende Maßnahmen, die zu empfehlen sind.

Ist-Analyse zeigt offene Flanken

Um einzuschätzen, welche Maßnahmen notwendig sind, starten Unternehmen mit einer Ist-Analyse ihrer Prozesse und Infrastruktur. Dabei sind alle Geschäftsbereiche zu betrachten. Einige KRITIS neigen dazu, ihre technischen Gewerke getrennt von der IT zu betrachten. So dürfen beispielsweise Stadtwerke nicht allein ihre "Leitwarte" als kritische Infrastruktur betrachten, sondern auch die IT mit den typischen IT-Services wie Office-Bereitstellung oder ERP.

In der Realität ist der Vernetzungsgrad zwischen IT und Leitstellennetzen bereits sehr hoch und eine Abgrenzung zwischen Betriebstechnik und IT daher nicht zweckdienlich. Moderne Leitstände oder auch profane Gebäudetechnik "sprechen heute IT" und sind ohne zentrale IT-Services aus dem Rechenzentrum heraus bald nicht mehr zu betreiben. Es ist daher effizienter und sicherer das Unternehmen von Anfang an ganzheitlich zu betrachten, anstatt später die notwendigen IT-Services doppelt aufzubauen und zu betreiben.

Unternehmen als Einheit betrachten

Für eine ganzheitliche Betrachtung ist die Einführung eines ISMS sinnvoll, da es klare Richtlinien und Regeln vorgibt. Unternehmen erhalten einen effektiven Standard, der das Handling von Informationssicherheit auf Basis definierter Management-Prinzipien deutlich vereinfacht. Für ein effizientes ISMS müssen sich die Betriebe zunächst grundlegend bewusst machen, wie sie aufgestellt sind. Welche Prozesse und Systeme sind kritisch? Mittels einer Risiko-Analyse gilt es Verfügbarkeit, Vertraulichkeit und Integrität zu überprüfen.

Dafür ist auch die Klassifikation von Informationen und Assets wichtig. Je nach Klassifikation leiten sich weitere Maßnahmen, beispielsweise notwendige Verschlüsselungen für vertrauliche Personendaten, ab. Damit das gelingt, sollten Unternehmen entsprechend Ressourcen einplanen und zur Verfügung stellen. Das beinhaltet unter Umständen auch, die interne IT-Abteilung auszubauen.

Zwar gilt es unter Umständen anfangs mehr Ressourcen einzuplanen, doch trägt ein reibungslos funktionierendes ISMS im späteren Betrieb dazu bei, langfristig Ressourcen und Kosten einzusparen. Fester Bestandteil eines ISMS sind außerdem Leitlinien, die Sicherheitsziele und ihre Umsetzung dokumentieren. Auf diesen Security Policies fußt letzten Endes die Sicherheitsstrategie eines Unternehmens.

Sind die organisatorischen Voraussetzungen geschafften, gilt es sämtliche Mitarbeiter zu informieren und einzubinden. Ganz nach dem Motto: Jedes Systems ist so sicher, wie der Mensch dahinter. Hier geht es darum, Mitarbeiter für Gefährdungen wie Social-Engineering-Attacken zu sensibilisieren und mit in die Verantwortung zu nehmen. Unternehmen kommunizieren ihre Sicherheitsziele daher idealerweise transparent und auch für Nicht-IT-Mitarbeiter verständlich. Wo notwendig, helfen Workshops und Schulungen weiter. Jedem im Unternehmen muss klar sein, warum die geforderten Maßnahmen wichtig sind und welche Folgen Verstöße nach sich ziehen.

Branchenstandards etablieren

Das neue IT-Sicherheitsgesetz sieht vor, dass KRITIS für ihre jeweiligen Schwerpunkte sicherheitsrelevante Branchenstandards entwickeln. Der gängigste Standard ist der bereits angeführte ISO/IEC 27001. Dass er mit der Rechtsverordnung zur Pflicht wird, gilt fast als sicher. Darüber hinaus gibt es gängige Verfahren, die bestimmte Teilbereiche der IT-Sicherheit berühren. So hat sich beispielsweise in der europäischen Automobilindustrie ENX als gemeinsames Kommunikationsnetzwerk für den sicheren Austausch sensibler Daten etabliert.

Damit gewährleistet die Automobilbranche die Einhaltung von Mindest-Sicherheitsstandards bei Partnern und Zulieferern. Welche branchenspezifischen Standards sich letztendlich etablieren und auch international durchsetzen, bleibt abzuwarten. Wenn es dann soweit ist, werden sie auf andere Unternehmen ausstrahlen.

Budgets einplanen

Welche Kosten genau auf Betreiber kritischer Infrastrukturen zukommen, ist noch nicht absehbar. Zwar sollten die ergriffenen Maßnahmen in einem angemessenen Verhältnis zu den Security-Zielen stehen, doch gerade KRITIS, die sich bisher wenig mit IT-Sicherheit auseinandergesetzt haben, sollten entsprechende Budgets einplanen.

Kostenreiber Meldepflicht

Ein weiterer Kostentreiber wird die Meldepflicht für Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dafür müssen Unternehmen einen effizienten Incident-Prozess aufbauen. Die Bundesregierung rechnet im Jahr mit sieben Meldungen pro Unternehmen. Experten gehen hingegen von einer deutlich höheren Zahl aus - speziell in der Übergangszeit, bis die Sicherheitskonzepte umgesetzt sind. Sie schätzen die Kosten für die Wirtschaft auf 1,1 Milliarden Euro.

Grundsätzlich ist eine Verpflichtung, kritische Infrastrukturen effektiv zu schützen, sinnvoll. Allerdings fehlen bis zur Rechtsverordnung klare Aussagen, wer was konkret umzusetzen hat. Hinzu kommt, dass je nach Betrieb die Übergangsfrist knapp angesetzt ist. Unternehmen der angegeben Branchen sollten sich trotzdem mit dem Thema auseinandersetzen und prüfen, wie ihre IT-Sicherheit aufgestellt ist. So schaffen sie erste Voraussetzungen, um anschließend die geforderten Maßnahmen fristgerecht zu realisieren.