Kurze Fristen drängen zum Handeln

IT-Sicherheitsgesetz - Die Uhr tickt

19.01.2016
Von   IDG ExpertenNetzwerk, und
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Detlef Klett ist Partner in der Wirtschaftskanzlei Taylor Wessing in Düsseldorf. Er hat  sich auf die rechtliche Beratung in den Bereichen IT, Telekommunikation und Datenschutz spezialisiert. Klett berät das Bundesministerium des Innern und seine nachgelagerten Bereiche sowie namhafte Wirtschaftsunternehmen. 
Carsten Marmulla ist ein erfahrener Managementberater mit den Themenschwerpunkten Informationssicherheitsmanagement, IT-Compliance, IT-Sicherheit und IT-Governance. Er verfügt über eine langjährige Berufserfahrung in der IT- und Managementberatung und ist als interner Auditor für den internationalen ISO-Standard 27001 zertifiziert.
IT-Sicherheit ist im Unternehmensalltag wahrlich kein Neuland mehr. Dennoch stellt das IT-Sicherheitsgesetz die deutsche Wirtschaft vor neue Herausforderungen. Diese sind - auch wenn dies auf dem ersten Blick nicht so scheint - in vielen Fällen mit pragmatischen Ansätzen mit einem überschaubaren Zeit- und Finanzaufwand umsetzbar. Um zugleich die kurzen Umsetzungsfristen einzuhalten, müssen betroffene Unternehmen jetzt aktiv werden.

Im Bericht zur Lage der IT-Sicherheit in Deutschland 2015 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass die Anzahl der Schwachstellen und Verwundbarkeiten in deutschen IT-Systemen weiterhin auf einem hohen Niveau liegt. Zudem habe sich die asymmetrische Bedrohungslage im Cyber-Raum weiter zuspitzt. Angesichts der vom Bundeskriminalamt (BKA) geschätzten 30.000 Cyber-Angriffe, denen deutsche Unternehmen täglich ausgesetzt sind, ist es für Unternehmen essentiell, die IT-Sicherheit als Teil des unternehmerischen Risiko-Managements zu betrachten.

Um sich ein konkretes Bild von der Bedrohungslage zu verschaffen, ist zu berücksichtigen, dass sich der Angreifertypus in den letzten Jahren vom Hobby-Hacker und Skript-Kid zunehmend in professionell organisierte und auf monetäre Ziele fokussierte Cyber-Kriminelle gewandelt hat. Die deutsche Wirtschaft ist dabei weiterhin zu einem überwiegenden Großteil von kleinen und mittelgroßen Unternehmen geprägt, denen durchaus ein erhöhtes Bewusstsein für IT-Sicherheit attestiert werden kann, denen es aber oftmals an der notwendigen Fachkenntnis und den Umsetzungskapazitäten mangelt. Genau hier liegt aufgrund des ungleichen Kräfteverhältnisses eine große Gefahr.

Als Reaktion auf die steigende Bedrohung durch Cyber-Kriminalitaät versucht die Bundesregierung nun etablierte Standards wie die internationale Norm ISO 27001 oder den deutschen BSI IT-Grundschutz verbindlich zu machen und regelmäßige Kontrollen einzuführen. Auch die Privatwirtschaft engagiert sich mit verschiedenen freiwilligen Initiativen für eine Stärkung der IT-Sicherheit. Das IT-Sicherheitsgesetz kann somit als ein weiterer Schritt aufgefasst werden, um das Lagebild der deutschen IT-Sicherheit zu verbessern.

Auf Unternehmen wirken Anforderungen zur Informationssicherheit aus unterschiedlichen Quellen ein, durch die Verabschiedung des IT-Sicherheitsgesetz wurden die regulatorischen Anforderungen verschärft.
Auf Unternehmen wirken Anforderungen zur Informationssicherheit aus unterschiedlichen Quellen ein, durch die Verabschiedung des IT-Sicherheitsgesetz wurden die regulatorischen Anforderungen verschärft.
Foto: telexiom AG, Carsten Marmulla

Ziel des IT-Sicherheitsgesetzes ist der Schutz von IT-Infrastrukturen vor Cyber-Angriffen durch Erkennung und idealerweise Abwehr von organisationsexternen Attacken auf organisationsinterne IT-Infrastrukturen. Adressaten sind vor allem Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die den Sektoren Energie, IT und Telekommunikation (ITK), Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind (§ 2 Abs. 10 BSI-G).

Der ITK-Sektor nimmt hierbei eine Schlüsselrolle ein. Er zählt einerseits zu den KRITIS-Sektoren und ist andererseits bedeutend für das Funktionieren der übrigen KRITIS-Sektoren, da seine Produkte und Dienstleistungen Grundlage vieler Geschäftsprozesse sind. Neben Kommunikationsdiensten ermöglicht der ITK-Sektor auch den Zugang zu Daten und Informationen und trägt dazu bei, Geschäftsprozesse zu vereinfachen. Ausfälle können daher wesentliche Beeinträchtigungen der Geschäftsabläufe verschiedenster Branchen begründen.

Bestimmung der KRITIS durch Rechtsverordnung

Namen der angegriffenen Unternehmen werden erst veröffentlicht, wenn ein Angriff erfolgreich war.
Namen der angegriffenen Unternehmen werden erst veröffentlicht, wenn ein Angriff erfolgreich war.
Foto: beccarra - shutterstock.com

Die nähere Bestimmung der KRITIS soll in einer vom Bundesministerium des Innern (BMI) noch zu erlassenden Rechtsverordnung erfolgen. Entscheidend wird bei Festlegung der KRITIS sein, ob mittels der jeweiligen Infrastruktur eine für die Gesellschaft kritische Dienstleistung erbracht wird (Qualität) und ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens hätte (Quantität). Diese Kriterien zugrunde gelegt, dürften vor allem Energie- und Wasserversorgungsunternehmen, Bahnverkehrsdienstleister, Krankenhäuser, Trink- und Abwasserversorger, der Lebensmittelhandel und Banken betroffen sein. Die Rechtsverordnung soll im Jahr 2016 voraussichtlich in zwei Teilen in Kraft treten: Im ersten Quartal für die Sektoren Energie, ITK, Ernährung und Wasser und Ende 2016 für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen.

Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber erstmals, IT-Sicherheitsvorfälle an das BSI zu melden. Die zuvor in verschiedene Kritikalitätskategorien eingeordneten Sicherheitsvorfälle, die ein Unternehmen entdeckt, müssen zukünftig an das BSI gemeldet werden. Das BSI anonymisiert diese in einer Treuhänderfunktion und erstellt so eine bundesweite Cyber-Sicherheitslage, damit es durch diese Informationen andere Unternehmen über laufende Cyber-Attacken gezielt warnen kann. Einer namentlichen Nennung des KRITIS-Betreibers bedarf es erst, wenn der Cyber-Angriff tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt hat. Zudem sind bei vielen Unternehmen Anpassungen hinsichtlich der Protokollierung von Vorgängen auf ihren IT-Systemen und Netzwerkkomponenten erforderlich, um überhaupt in der Lage zu sein, Angriffe erkennen und nachvollziehen zu können.

Zudem verpflichtet das IT-Sicherheitsgesetz KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen. Dabei sind die KRITIS-Betreiber gehalten, bei der Umsetzung den „Stand der Technik“ einzuhalten und dessen Erfüllung mindestens alle zwei Jahre gegenüber dem BSI nachzuweisen. Die anzulegenden Standards können von den KRITIS-Betreibern und ihren Branchenverbänden selbst erarbeitet werden. Das BSI muss aber auf Antrag die Eignung dieser Standards feststellen.

Für die betroffenen Unternehmen gilt es deshalb keine Zeit zu verlieren: Denn vor allem die Umsetzung der technischen und organisatorischen Maßnahmen muss innerhalb von zwei Jahren nach Erlass der Rechtsverordnung erfolgen.