Das IT-Sicherheitsgesetz in der Praxis

Nachhaltige Cyber-Defense in der Praxis

Norman Wenk arbeitet seit mehr als zehn Jahren im Themenumfeld IT und IT-Sicherheit. Er berät deutsche Unternehmen und Konzerne bei der Erstellung von Sicherheitskonzepten für IT- und Informationssicherheit und unterstützt bei deren Realisierung. Als Senior Practice Manager im Professional Service verantwortet er seit April 2014 bei der NTT Com Security die Führung für das Consulting-Team Governance, Risk & Compliance (GRC) in der DACH-Region.
Die aktuelle Lage zur Informations- und IT-Sicherheit bleibt angespannt. Unternehmen, öffentliche Einrichtungen aber auch Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) werden zunehmend Ziel von technologisch immer ausgereifteren und komplexeren Cyber-Angriffen.
Mit dem IT-Sicherheitsgesetz stehen Unternehmen vor der Herausforderung, ihre Ressouren schützen zu müssen.
Mit dem IT-Sicherheitsgesetz stehen Unternehmen vor der Herausforderung, ihre Ressouren schützen zu müssen.
Foto: wavebreakmedia - shutterstock.com

Die Zahl der Meldungen über Informations- und Datenverluste oder Angriffe auf die IT von Unternehmen nimmt stetig zu. Kaum ein Tag vergeht, an dem nicht neue Schwachstellen veröffentlicht werden.Die hohe Geschwindigkeit von Innovationen (Bring your own Device, Cloud Technologie, Big Data, Industrie 4.0 oder Internet of Things) und die gleichzeitig beschränkten Ressourcen für Informationssicherheit bilden ein Spannungsfeld aus Sicherheitsanforderungen, Kosten und dem effektivem Einsatz neuer Technologien.

Die zunehmende Digitalisierung vieler Geschäftsprozesse sowie die damit verbundene technologische Vernetzung führen zudem zu einem dynamischen und schwer zu kontrollierenden Austausch von vielen, teilweise sehr kritischen, Informationen und Daten innerhalb der Organisationen oder über Unternehmensgrenzen hinweg. Zwischen dieser zunehmend an Bedeutung gewinnenden Digitalisierung aller Businessbereiche auf der einen und den immer umfangreicheren regulativen Vorgaben und Gesetzen auf der anderen Seite fällt es schwer, den Überblick zu behalten. Eine den eigenen Sicherheitsanforderungen gerecht werdende Vorgehensweise zu finden, um den aktuellen und zukünftigen Bedrohungen begegnen zu können, ist eine weitere anspruchsvolle Aufgabe.

Das IT-Sicherheitsgesetz

Abbildung 1: Dynamische Einflussfaktoren durch zunehmende Digitalisierung im Business.
Abbildung 1: Dynamische Einflussfaktoren durch zunehmende Digitalisierung im Business.
Foto: NTT Com Security

Im Zuge des am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes stehen Unternehmen vor der Herausforderung, eine für sie angemessene Good Practice zu entwickeln und umzusetzen.Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das Änderungen unterschiedlicher Gesetze wie BSIG, EnWG, AtG, TMG und TKG (BSIG: BSI Gesetz, EnWG: Energiewirtschaftsgesetz, AtG: Atomgesetz, TMG: Telemediengesetz, TKG: Telekommunikationsgesetz) umfasst. Ziel des Gesetzes ist die Verbesserung der Sicherheit der IT-Systeme bezogen auf ihre Verfügbarkeit, Vertraulichkeit, und Authentizität.Der Fokus der gesetzlichen Änderungen des BSIG liegt auf den sogenannten Kritischen Infrastrukturen aus den folgenden Sektoren (Definition gemäß §2 BSIG):

  • Informations- und Kommunikationstechnik (IKT),

  • Energie und Wasser.

  • Ernährung· Transport und Verkehr,

  • Gesundheit,

  • Finanz- und Versicherungswesen.

Unter den Begriff "Kritische Infrastrukturen" fallen im Allgemeinen Unternehmen und Organisationen, die "[… ] von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden". Unternehmen konkret als KRITIS einzustufen sind, wird aktuell in Rechtsverordnungen zum §10 (2) BSI-Gesetz durch das BSI erarbeitet ("KRITIS-VO" im UP-KRITIS des BSI).

Mit dieser Rechtsverordnung werden Schwellenwerte für die verschiedenen Branchen vorgegeben, ab deren Überschreitung die Regelungen für Kritische Infrastrukturen zur Anwendung kommen. Danach liegt es in der Verantwortung der einzelnen Unternehmen und Organisationen zu prüfen, ob sie diese Schwellenwerte erreichen und somit den genannten Anforderungen unterliegen. Der konkrete Zeitpunkt für die Veröffentlichung der Verordnung ist noch nicht bekannt gegeben; eine Art "offizielle Liste" aller Unternehmen, die in den Bereich der Kritischen Infrastrukturen fallen, ist nicht geplant.

Kernmaßnahmen

Die Betreiber Kritischer Infrastrukturen werden nach dem IT-Sicherheitsgesetz zu folgenden Kernmaßnahmen verpflichtet:

  1. Ein Mindestniveau an IT-Sicherheit nach dem Stand der Technik zu gewährleisten / einzuhalten und dieses alle zwei Jahre über Sicherheitsaudits, Prüfungen bzw. Zertifizierungen nachzuweisen. Sicherheitsmängel müssen dabei dem BSI über die Bereitstellung von Audit-Ergebnissen mitgeteilt werden.

  2. Maßnahmen und Kommunikationswege für die Erkennung und Meldung von Sicherheitsvorfällen sind zu etablieren, um der Meldepflicht an das BSI für Vorfälle, die zu einem Ausfall geführt haben oder dazu führen könnten, nachkommen zu können.

Die Umsetzung der Maßnahmen muss laut § 8a BSIG innerhalb von zwei Jahren nach Veröffentlichung der Rechtsverordnungen erfolgen. Organisationen mit weniger als zehn Mitarbeitern bzw. weniger als zwei Millionen Euro Jahresumsatz sowie Unternehmen, die aufgrund anderer Rechtsvorschriften bereits weitergehende Anforderungen erfüllen müssen, sind ausgenommen.

Um die erforderlichen Maßnahmen ganzheitlich umzusetzen und die Nachhaltigkeit zu gewährleisten, ist die Einführung eines Managementsystems für Informationssicherheit (ISMS) basierend auf anerkannten Standards empfehlenswert und notwendig.

Ein, auf Basis der ISO 27001 oder dem BSI IT-Grundschutz basierendes, ISMS ist unabhängig von regulatorischen Anforderungen und Gesetzen und für Unternehmen und Organisationen eine wertvolle Managementmethode zur effektiven und effizienten Steuerung der Informations- und Datensicherheit. Auf diesem Weg können die eigenen unternehmerischen Interessen und Ziele geschützt werden.

Inhalt dieses Artikels