Im Bericht zur Lage der IT-Sicherheit in Deutschland 2015 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass die Anzahl der Schwachstellen und Verwundbarkeiten in deutschen IT-Systemen weiterhin auf einem hohen Niveau liegt. Zudem habe sich die asymmetrische Bedrohungslage im Cyber-Raum weiter zuspitzt. Angesichts der vom Bundeskriminalamt (BKA) geschätzten 30.000 Cyber-Angriffe, denen deutsche Unternehmen täglich ausgesetzt sind, ist es für Unternehmen essentiell, die IT-Sicherheit als Teil des unternehmerischen Risiko-Managements zu betrachten.
Um sich ein konkretes Bild von der Bedrohungslage zu verschaffen, ist zu berücksichtigen, dass sich der Angreifertypus in den letzten Jahren vom Hobby-Hacker und Skript-Kid zunehmend in professionell organisierte und auf monetäre Ziele fokussierte Cyber-Kriminelle gewandelt hat. Die deutsche Wirtschaft ist dabei weiterhin zu einem überwiegenden Großteil von kleinen und mittelgroßen Unternehmen geprägt, denen durchaus ein erhöhtes Bewusstsein für IT-Sicherheit attestiert werden kann, denen es aber oftmals an der notwendigen Fachkenntnis und den Umsetzungskapazitäten mangelt. Genau hier liegt aufgrund des ungleichen Kräfteverhältnisses eine große Gefahr.
Als Reaktion auf die steigende Bedrohung durch Cyber-Kriminalitaät versucht die Bundesregierung nun etablierte Standards wie die internationale Norm ISO 27001 oder den deutschen BSI IT-Grundschutz verbindlich zu machen und regelmäßige Kontrollen einzuführen. Auch die Privatwirtschaft engagiert sich mit verschiedenen freiwilligen Initiativen für eine Stärkung der IT-Sicherheit. Das IT-Sicherheitsgesetz kann somit als ein weiterer Schritt aufgefasst werden, um das Lagebild der deutschen IT-Sicherheit zu verbessern.
Foto: telexiom AG, Carsten Marmulla
Ziel des IT-Sicherheitsgesetzes ist der Schutz von IT-Infrastrukturen vor Cyber-Angriffen durch Erkennung und idealerweise Abwehr von organisationsexternen Attacken auf organisationsinterne IT-Infrastrukturen. Adressaten sind vor allem Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die den Sektoren Energie, IT und Telekommunikation (ITK), Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind (§ 2 Abs. 10 BSI-G).
Der ITK-Sektor nimmt hierbei eine Schlüsselrolle ein. Er zählt einerseits zu den KRITIS-Sektoren und ist andererseits bedeutend für das Funktionieren der übrigen KRITIS-Sektoren, da seine Produkte und Dienstleistungen Grundlage vieler Geschäftsprozesse sind. Neben Kommunikationsdiensten ermöglicht der ITK-Sektor auch den Zugang zu Daten und Informationen und trägt dazu bei, Geschäftsprozesse zu vereinfachen. Ausfälle können daher wesentliche Beeinträchtigungen der Geschäftsabläufe verschiedenster Branchen begründen.
Bestimmung der KRITIS durch Rechtsverordnung
Foto: beccarra - shutterstock.com
Die nähere Bestimmung der KRITIS soll in einer vom Bundesministerium des Innern (BMI) noch zu erlassenden Rechtsverordnung erfolgen. Entscheidend wird bei Festlegung der KRITIS sein, ob mittels der jeweiligen Infrastruktur eine für die Gesellschaft kritische Dienstleistung erbracht wird (Qualität) und ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens hätte (Quantität). Diese Kriterien zugrunde gelegt, dürften vor allem Energie- und Wasserversorgungsunternehmen, Bahnverkehrsdienstleister, Krankenhäuser, Trink- und Abwasserversorger, der Lebensmittelhandel und Banken betroffen sein. Die Rechtsverordnung soll im Jahr 2016 voraussichtlich in zwei Teilen in Kraft treten: Im ersten Quartal für die Sektoren Energie, ITK, Ernährung und Wasser und Ende 2016 für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen.
Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber erstmals, IT-Sicherheitsvorfälle an das BSI zu melden. Die zuvor in verschiedene Kritikalitätskategorien eingeordneten Sicherheitsvorfälle, die ein Unternehmen entdeckt, müssen zukünftig an das BSI gemeldet werden. Das BSI anonymisiert diese in einer Treuhänderfunktion und erstellt so eine bundesweite Cyber-Sicherheitslage, damit es durch diese Informationen andere Unternehmen über laufende Cyber-Attacken gezielt warnen kann. Einer namentlichen Nennung des KRITIS-Betreibers bedarf es erst, wenn der Cyber-Angriff tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt hat. Zudem sind bei vielen Unternehmen Anpassungen hinsichtlich der Protokollierung von Vorgängen auf ihren IT-Systemen und Netzwerkkomponenten erforderlich, um überhaupt in der Lage zu sein, Angriffe erkennen und nachvollziehen zu können.
Zudem verpflichtet das IT-Sicherheitsgesetz KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen. Dabei sind die KRITIS-Betreiber gehalten, bei der Umsetzung den „Stand der Technik“ einzuhalten und dessen Erfüllung mindestens alle zwei Jahre gegenüber dem BSI nachzuweisen. Die anzulegenden Standards können von den KRITIS-Betreibern und ihren Branchenverbänden selbst erarbeitet werden. Das BSI muss aber auf Antrag die Eignung dieser Standards feststellen.
Für die betroffenen Unternehmen gilt es deshalb keine Zeit zu verlieren: Denn vor allem die Umsetzung der technischen und organisatorischen Maßnahmen muss innerhalb von zwei Jahren nach Erlass der Rechtsverordnung erfolgen.
Was ist konkret erforderlich?
Doch während die Bundesregierung bereits seit vielen Monaten betont, dass IT-Sicherheit eine wesentliche Voraussetzung für die Wahrung der Freiheitsrechte ist, fällt vielfach auf, dass es bei Unternehmen große Unsicherheiten hinsichtlich der konkret notwendigen Handlungen gibt. Welche konkreten Maßnahmen müssen nun getroffen werden, um wirksam die neuen gesetzlichen Anforderungen des IT-Sicherheitsgesetzes zu erfüllen?
Konkrete Anforderungskataloge oder Vorgaben, welche technischen und organisatorischen Maßnahmen erforderlich sind, um die IT-Mindestsicherheitsstandards zu erreichen fehlen. Allerdings gibt es eine Reihe von Empfehlungen:
Unterstützung der branchenorientierten Selbstorganisation: Die Möglichkeit, branchenspezifische IT-Mindestsicherheitsstandards zu entwickeln, ist sinnvoll. Eine branchenorientierte Selbstorganisation von Mindeststandards ist zielführend und sollte ein ausreichendes Maß an Flexibilität gewährleisten.
Berücksichtigung der Internationalität der Unternehmen: Bei der Entwicklung und Anerkennung branchenspezifischer IT-Mindestsicherheitsstandards sollte die starke Ausrichtung der häufig europäisch und global operierenden deutschen Unternehmen an international geltenden Standards berücksichtigt und auf nationale Insellösungen verzichtet werden.
Beachtung der Rolle der Zulieferer und Ausrüster: Es sollte berücksichtigt werden, dass die gesetzlichen Vorgaben über den Kreis der eigentlich betroffenen Betreiber hinaus Folgewirkungen auch auf andere Unternehmen haben können. Während Zulieferer und Ausrüster, etwa aus der Elektro- und der Maschinenbauindustrie durch ein mögliches „Durchreichen von Mindeststandards“ belastet werden können, können sich für Hersteller und Dienstleister aus dem Bereich der IT-Sicherheit Potenziale ergeben.
Foto: telexiom AG, Carsten Marmulla
Bereits seit dem Jahr 2011 unterliegen Energieversorgungsunternehmen mit eigenem Netzbetrieb der Verpflichtung, für einen angemessenen Schutz gegen Bedrohungen für netzsteuerungsdienliche Telekommunikations- und elektronische Datenverarbeitungssysteme zu sorgen. Den in § 11 Abs. 1a Satz 2 Energiewirtschaftsgesetz (EnWG) enthaltenen Auftrag an die Bundesnetzagentur (BNetzA) zur Konkretisierung des „angemessenen Schutzes“ einen Katalog von Sicherheitsanforderungen zu erstellen, ist die BNetzA im August 2015 nun nachgekommen.
Deutlich formuliert der IT-Sicherheitskatalog, dass eine „bloße Umsetzung von Einzelmaßnahmen wie zum Beispiel Einsatz von Antivirensoftware und Firewalls nicht ausreichen“, sondern dass ein ganzheitlicher Ansatz notwendig ist, der auch der Unterstützung der Unternehmensführung bedarf. Der IT-Sicherheitskatalog orientiert sich hierbei an der internationalen Norm ISO 27001 zum Aufbau und Betrieb eines Informationssicherheits-Management-Systems (ISMS).
Zudem gibt es weiterreichende Beschreibungen zur Umsetzung in der ISO 27002 sowie zu branchenspezifischen Ausprägungen in der ISO/IEC TR 27019 respektive DIN SPEC 27019. Zentraler Bestandteil sämtlicher ISO-Normen ist der darin verankerte Deming-Zyklus (PDCA: Plan, Do, Check, Act), der eine zyklische Überprüfung hinsichtlich der Wirksamkeit, Leistungsfähigkeit und Angemessenheit der Maßnahmen und Kontrollen erfordert und somit auch eine kontinuierliche Verbesserung impliziert. Der Abschluss eines Zertifizierungsverfahrens auf der Grundlage des ISO/IEC-Standards 27001 ist der BNetzA durch Vorlage einer Kopie des Zertifikats bis zum 31. Januar 2018 mitzuteilen.
Fazit:
Die durch das IT-Sicherheitsgesetz neu geschaffenen, nicht-funktionalen Anforderungen an einen ordnungs- und zeitgemäßen sowie sicheren IT-Betrieb stellen viele Unternehmen vor neue Herausforderungen. Dennoch, „Security“ ist im Unternehmensalltag keineswegs Neuland, sondern stellt eine lösbare Aufgabe dar, die sich in vielen Fällen mit pragmatischen Ansätzen auch mit einem überschaubaren Zeit- und Finanzaufwand umsetzen lässt.
Wichtige Voraussetzung hierfür ist die professionelle Unterstützung durch Fachkundige, die mit den Methoden der Informations- und IT-Sicherheit vertraut sind und bereits Erfahrung im Aufbau und der Weiterentwicklung von unternehmensweiten IT-Sicherheitsstrategien vorweisen können. Vor allem ist den Unternehmen aber anzuraten, unverzüglich aktiv zu werden, um bereits an der Gestaltung der branchenspezifischen Mindeststandards mitzuwirken und zu prüfen, welche sie davon bereits erfüllen und bei Bedarf entsprechend nachzubessern. Denn Fakt ist: Wer abwartet, verliert.