IT-Sicherheitsgesetz

Regulatorischer Handlungsdruck für Security-Pflichten

Rüdiger Giebichenstein ist Partner der Beratungsgesellschaft WTS in Köln. Der Diplom-Wirtschaftsinformatiker berät DAX-Konzerne und mittelständische Unternehmen in den Bereichen Risk & Compliance sowie IT Advisory. Zu seinen Themenschwerpunkten gehören u.a. IT-Compliance, Datenschutz, Information Security, IT-Risikomanagement, Cloud Computing und Qualitätsmanagement.

 

 

 

 

Das neue IT-Sicherheitsgesetz setzt erstmals rechtlich verbindliche Anforderungen an das Mindestniveau in der Informationssicherheit. Womit haben Unternehmen künftig zu rechnen?
Die Bundesregierung will Unternehmen künftig auf die Finger schauen, ob sie per Gesetz vorgeschriebene Sicherheitsrichtlinien einhalten.
Die Bundesregierung will Unternehmen künftig auf die Finger schauen, ob sie per Gesetz vorgeschriebene Sicherheitsrichtlinien einhalten.
Foto: vege - Fotolia.com

Angriffe auf Computernetze werden immer professioneller, komplexer und individueller und finden mehr oder weniger unbemerkt an 24 Stunden, sieben Tage pro Woche statt. Vom Finanzsystem bis zur Energieversorgung ist prinzipiell jeder Bereich des zivilen Lebens mit seinen Infrastrukturen zum Ziel von digitalen Attacken geworden.
Ermöglicht wird dies, weil fast alle Bereiche der Wirtschaft und der Infrastrukturen eines Landes heute von Technik beziehungsweise IT abhängen und der Grad der technischen Vernetzung und Kommunikation stetig gestiegen ist und weiter steigen wird. Zahlreiche Pressemeldungen über Cyber-Angriffe auf beispielsweise Versorgungseinrichtungen, Stromnetze, Steuerungssysteme für Anlagen haben die Thematik zusätzlich angeheizt und Handlungsbedarf erzwungen.

Cybersicherheit als neues Schutzziel

Die Bundesregierung hat sich daher deutlichen Handlungsbedarf im Bereich der so genannten Cybersicherheit auf ihre digitale Agenda geschrieben und will kritische Infrastruk­turen besser vor Cyberangriffen schützen. Kritische Infrastrukturen sind Einrichtungen und Netze, die für das öffentliche Leben wesentlich sind und deren Ausfall dramatische Folgen haben könnte. Darunter fallen etwa Telekommunikations- oder Energienetze, Banken, Verwaltungsbehörden oder Einrichtungen zur medizinischen Versorgung, aber auch Verkehrsunternehmen oder Wasserversorger. Die Maßnahmen der Bundesregierung verfolgen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren.

Umsetzung von Maßnahmen zur Informationssicherheit gefordert

Generell soll geprüft werden, ob der Betreiber die für seine Branche und Technologie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt. Dazu gehört, ein so genanntes Information Security Management System (Sicherheitsorganisation, IT-Risikomanagement, etc.) zu betreiben, kritische Cyber-Assets zu identifizieren und zu managen, Schutzmaßnahmen zur Angriffsprävention zu betreiben, ein Business Continuity Management (BCM) zu implementieren. Darüber hinaus sollen die branchenspezifischen Besonderheiten - zum Beispiel verankert durch den jeweiligen branchenspezifischen Sicherheitsstandard, sofern ein solcher erstellt und anerkannt wurde - umgesetzt werden.

Ausgestaltung der Sicherheitsaudits und Zertifizierungen

Die Ausgestaltung der Sicherheitsaudits, -prüfungen und Zertifizierungen soll nicht im Detail gesetzlich vorgegeben werden. Diese hängt von den jeweils branchenspezifischen Mindeststandards, den in den Branchen vorhandenen technischen Gegebenheiten und gegebenenfalls bereits bestehenden Auditierungs- und Zertifizierungssystemen ab.

Vorstoß nach EnWG für Energie- und Gasversorger bereits sehr konkret

Ein Blick speziell auf die Gesetzgebung zu Energie- und Gasversorgern nach Maßgabe von § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) zeigt, dass hier bereits konkretere Vorstöße seitens des Gesetzgebers vorliegen. Die Betreiber von Strom- und Gasversorgungsnetzen sind verpflichtet, jene Telekommunikations- und elektronischen Datenverarbeitungssysteme, die zur Netzsteuerung dienen, angemessen gegen Bedrohungen nach dem aktuellen Stand der Technik zu sichern.
Dazu hat die Bundesnetzagentur (BNetzA) bereits zu Anfang dieses Jahres einen Katalog von Sicherheitsanforderungen und Maßnahmen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme erstellt, dessen Kommentierungsphase bereits beendet ist und mit dessen Veröffentlichung voraussichtlich zeitnah zu rechnen sein wird. Dieser Katalog bedient sich der ISO/IEC 27001, ISO/IEC 27002 und der DIN SPEC 27009 und geht damit inhaltlich in die gleiche Richtung wie der Ansatz des IT-Sicherheitsgesetzes. Wie und ob diese beiden Gesetzesinitiativen künftig harmo­nisiert werden, bleibt jedoch abzuwarten.

Meldung von Angriffen wird künftig Pflicht

Die betroffenen Betreiber sollen zusätzlich verpflichten werden, Angriffe auf ihre IT-Systeme zu melden. Sofern es nicht zu einem Ausfall oder einer Störung des jeweiligen Netzes kommt, soll aber auch eine anonyme Meldung ausreichen. Aus Angst vor Ansehensverlust sind Firmen seit jeher sehr zurückhaltend damit, Transparenz bezüglich Cyberattacken zu schaffen. Die Wirtschaft hatte unter anderem auf die Anonymität solcher Hinweise hingewirkt.

Umsetzungszeitraum von zwei Jahren

In ihrer Branche sollen die betroffenen Unternehmen selbst innerhalb von zwei Jahren Mindeststandards entwickeln, um ihre IT gegen Attacken abzusichern. Diese Standards müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigt werden. In Zukunft sollen die Unternehmen dann alle zwei Jahre nach­weisen, dass sie die Anforderungen noch in ausreichendem Maße erfüllen.

Kontrollmöglichkeiten der Sicherheitsbehörden steigen

Außerdem bekommen die zuständigen Sicherheitsbehörden den Plänen zufolge zusätzliches Geld und Personal, um ihren Aufgaben in Sachen IT-Sicherheit nachzukommen: Mit diesen gestiegenen Ressourcen erhöhen sich die Kontrollmöglichkeiten der Sicherheitsbehörden signifikant und der Druck auf die Unternehmen steigt, die Vorgaben zeitnah umzusetzen.

Gesetz verabschiedet - wie ist Ihr Umsetzungsstand?

Das Gesetz wurde nach Abstimmung zwischen den Ressorts am 17.12.2014 beschlossen und vom Kabinett verabschiedet. Es ist damit keine Frage mehr "ob", sondern nur noch "wann" das Gesetz in Kraft treten wird. Alle betroffenen Unternehmen geraten daher unter Zugzwang und sind somit gut beraten, hier bereits vorbereitende Schritte eigeninitiativ durchzuführen und zumindest ihren eigenen Umsetzungsstand bezüglich der geforderten Maßnahmen zu ermitteln, um vorbereitet zu sein. (bw)