Betreiber von kritischen Infrastrukturen müssen aufrüsten

Bundestag beschließt das IT-Sicherheitsgesetz

12.06.2015
Von   ,   und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Simone Bach arbeitet als Rechtsanwältin in der Kanzlei Luther Rechtsanwaltsgesellschaft mbH in Köln. Ihre Themengebiete sind Technologie, Medien, Telekommunikation und Datenschutz.
Heute hat der Bundestag das IT-Sicherheitsgesetz beschlossen. Durch das neue Gesetz entstehen für Betreiber kritischer Infrastrukturen neue Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten.

Der Cyberangriff auf den Bundestag in den vergangenen Wochen zeigt deutlich, dass öffentliche Einrichtungen und Unternehmen in Deutschland immer wieder Opfer von Cyberangriffen sind. Durch Trojaner, Viren und andere Schadsoftware wird die IT-Infrastruktur infiltriert, ausgespäht oder manipuliert. Cyberangriffe können auf diese Weise insbesondere auch Anlagen und Systeme, die für die Allgemeinheit von erheblicher Bedeutung sind, empfindlich beeinträchtigen, wie die Stromnetze, das Gesundheitssystem oder die Lebensmittelversorgung. Die Bundesregierung und der Bundestag möchten solch kritischen Infrastrukturen deshalb besser als bisher vor den Gefahren von Cyberangriffen schützen.

Betreiber von kritischen Infrastrukturen erwarten Bußgelder in Höhe von bis zu 100.000 Euro, sollten sie sich künftig nicht an die gesetzlichen Vorgaben halten.
Betreiber von kritischen Infrastrukturen erwarten Bußgelder in Höhe von bis zu 100.000 Euro, sollten sie sich künftig nicht an die gesetzlichen Vorgaben halten.
Foto: M. Schuppich - Fotolia.com

Zu diesem Zweck hat die Bundesregierung bereits im März 2013 mit einem Entwurf für ein IT-Sicherheitsgesetz die Diskussion über die Einführung von Maßnahmen zum Schutz gegen Cyberangriffe angestoßen. Der Gesetzesentwurf ist kontrovers diskutiert worden. Kritik äußerten insbesondere IT-Sicherheitsfachleute, Juristen und Datenschützer. Ihre Argumente wurden jedoch nur teilweise im Gesetzestext berücksichtigt. Heute hat der Bundestag den Gesetzesentwurf beschlossen. Mitte Juli muss noch der Bundesrat zustimmen.

Adressatenkreis

Um den Schutz kritischer Infrastrukturen zu verbessern, sieht das Gesetz eine Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie Meldepflichten im Fall von Cyberangriffen vor. Diese Pflichten richten sich an die Betreiber kritischer Infrastrukturen. Allerdings lässt der Gesetzesentwurf offen, wer ein solcher Betreiber einer kritischen Infrastruktur ist.

Der Entwurf enthält lediglich zwei Kriterien, anhand derer der Adressatenkreis bestimmt werden soll:

  • Der Adressatenkreis soll sektorspezifisch eingegrenzt werden

  • Eine möglichen Auswirkungen eines möglichen Cyberangriffs auf die Allgemeinheit.

Erfasst sind danach die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Zudem sollen Einrichtungen und Anlagen aus diesen Sektoren nur dann als kritische Infrastruktur einzustufen sein, wenn ein Ausfall oder eine Beeinträchtigung dazu führt, dass es zu erheblichen Versorgungsengpässen oder zu einer Gefährdung der öffentlichen Sicherheit kommen könnte.

Da diese abstrakt formulierten Kriterien in der Praxis wenig hilfreich sind, sollen die kritischen Infrastrukturen durch eine Rechtsverordnung näher bestimmt werden. Für Unternehmen in den betroffenen Sektoren bedeutet dies jedenfalls, dass erst mit Erlass der Rechtsverordnung eindeutig feststeht, ob sie von den neuen Maßnahmen betroffen sind.

Organisatorische und technische Schutzmaßnahmen

Das Gesetz legt noch nicht genau fest, welche technischen Maßnahmen zukünftig konkret zu ergreifen sind, um kritische Infrastrukturen vor Cyberangriffen zu schützen. Im Gesetzeswortlaut heißt es, dass die Betreiber kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, zu treffen haben.

Welche Maßnahmen angemessen sind und dem Stand der Technik entsprechen, kann von Fall zu Fall unterschiedlich zu beurteilen sein. Erste Vorschläge für konkrete Maßnahmen können jedoch schon jetzt der Gesetzesbegründung entnommen werden. Darin wird beispielsweise die Abschottung besonders kritischer Prozesse von den öffentlichen Telekommunikationsnetzen genannt. Zudem finden sich vermehrt Hinweise auf die ISO-Normen, allen voran dem ISO 27001 Standard. Deshalb liegt auch angesichts des Entwurfes der Bundesnetzagentur die Vermutung nahe, dass Betreiber kritischer Infrastrukturen zukünftig ein Informationssicherheitsmanagementsystem (ISMS) einführen und gemäß ISO 27001 zertifizieren müssen.

Das Gesetz sieht zudem vor, dass innerhalb der verschiedenen Branchen konkrete Branchenstandards entwickelt werden können, die konkrete Schutzmaßnahmen vorschreiben. Das BSI prüft die Branchenstandards und stellt fest, ob diese ausreichende Sicherheit gewährleisten. Die Betreiber kritischer Infrastrukturen müssen die Mindestmaßnahmen zwei Jahre nach Erlass der Rechtsverordnung eingeführt haben.

Sonstige Pflichten

Die Betreiber kritischer Infrastrukturen müssen mindestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie ausreichende Schutzmaßnahmen ergriffen haben. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt werden. Zudem müssen etwaige Sicherheitsmängel benannt werden.

Die Betreiber Kritischer Infrastrukturen müssen dem BSI zudem eine Kontaktstelle benennen. Über die Kontaktstelle soll die Kommunikation mit dem BSI geführt werden. Deshalb fordert das Gesetz, dass die Betreiber darüber jederzeit erreichbar sind. Für die Unternehmen bedeutet dies, eine 24/7 Erreichbarkeit sicher zu stellen. Hierfür haben die Betreiber bis sechs Monate nach Inkrafttreten der Rechtsverordnung Zeit.

Kommt es zu einer erheblich Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, und kommt es dadurch zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur, müssen die Betreiber unverzüglich das BSI informieren. Die Information soll über die Kontaktstelle abgesetzt werden.

Die Informationspflicht besteht aber nicht erst dann, wenn die Funktionsfähigkeit der Kritischen Infrastruktur tatsächlich beeinträchtigt ist. Nach dem Grundsatz "Im Zweifel Meldung" sieht das Gesetz die Informationspflicht bereits dann vor, wenn die Funktionsfähigkeit der Kritischen Infrastruktur beeinträchtigt. Allerdings soll nur bei einer tatsächlichen Störung auch der Betreiber benannt werden. In den anderen Fällen kann die Meldung anonym erfolgen.

Geldbußen

Wenn Betreiber kritischer Infrastrukturen entgegen der Vorgaben des Gesetzes keine angemessenen technischen und organisatorischen Maßnahmen zur Vermeidung von Störungen implementieren, kann ein Bußgeld von bis zu 100.000 Euro verhängt werden.

Ebenfalls bußgeldbewährt ist der Fall, dass Sicherheitspannen nicht ordnungsgemäß gemeldet werden. In diesem Fall droht ein Bußgeld von bis zu 50.000 Euro.

Nächste Schritte

Bis zum Erlass der Rechtsverordnung besteht eine erhebliche Unsicherheit darüber, welche Unternehmen nunmehr als Betreiber Kritischer Infrastrukturen zu klassifizieren sind. Alle Unternehmen, die sich potenziell im Anwendungsbereich des Gesetzes wähnen, sollten jedoch frühzeitig beginnen, die eigenen Schutzmaßnahmen kritisch zu hinterfragen und gegebenenfalls zusätzliche Maßnahmen zu ergreifen. Denn sobald die Rechtsverordnung erlassen wird, ist der Umsetzungszeitraum von zwei Jahren, zum Beispiel für die Einführung und Zertifizierung eines ISMS nach ISO 27001, knapp bemessen.

Ferner werden auch Unternehmen außerhalb der betroffenen Sektoren beziehungsweise unterhalb der Schwellwerte mittelbar von den Vorgaben des IT-Sicherheitsgesetzes betroffen sein. Da das Gesetz nur Mindestmaßnahmen vorschreibt, können sich diese Maßnahmen zu einem generellen de facto-Standard weiterentwickeln und auch auf andere Sektoren ausstrahlen.
Unternehmen, die massiv von den Vorgaben abweichen, werden dann erklären müssen, warum sie keine vergleichbaren Schutzmaßnahmen ergriffen haben. Eine nur unzureichende Begründung für das Unterlassen angemessener Schutzmaßnahmen kann dann gegebenenfalls zu einer Haftung des Unternehmens führen. (bw)