Die wichtigsten Inhalte und Auswirkungen des neuen IT-Sicherheitsgesetzes

Was bringt das neue IT-Sicherheitsgesetz? Diese Fragen stellen sich derzeit viele Unternehmen. In den vergangenen Wochen wurde darüber viel diskutiert. Mal hieß es, das Gesetz gelte für alle Unternehmen, dann hieß es, das Gesetz gelte nur für bestimmte Branchen. Dann war von einer allgemeinen Meldepflicht von IT-Sicherheitsereignissen die Rede. – In diesem Artikel erfahren Sie die wichtigsten Inhalte und Auswirkungen des Gesetzentwurfs vom 17. Dezember 2014.

 

Ziele des IT-Sicherheitsgesetzes

Die Bundesregierung hat erkannt, dass IT-Sicherheit von wesentlicher Bedeutung für die Infrastruktur in Deutschland ist. Der Fall der Stadtwerke Ettlingen ist noch nicht lange her, als ein beauftragter Hacker gezeigt hat, wie einfach und schnell ein Zugriff auf die Versorgungsysteme erlangt werden kann. In einem anderen Fall wurde ein Hochofen in einem Stahlwerk lahmgelegt.

Vor diesem Hintergrund soll der Gesetzentwurf eine signifikante Verbesserung der IT-Sicherheit in Deutschland sowie in Unternehmen bewirken. Der Fokus liegt auf dem Schutz von kritischer Infrastruktur. Zusätzlich sollen Bürger von erhöhten Sicherheitsauflagen profitieren. Bundesbehörden wie das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt sollen für den Kampf gegen Cybercrime gestärkt werden.

 

Für wen gilt das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz richtet sich besonders an Betreiber von kritischer Infrastruktur, im Gesetzesentwurf wird dieser Begriff näher beschrieben. Folgende Sektoren fallen unter den Geltungsbereich des Gesetzes:

  • Versorger, die Strom, Gas oder Mineralöl zur Verfügung stellen
  • Informationstechnik- und Telekommunikationsanbieter (z.B. Mobilfunkanbieter oder Rechenzentrumsbetreiber)
  • Güter- und Personentransport (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Gesundheit (Medizinische Versorgung, Labore, Arzneimittel und Impfstoffe)
  • Wasserversorgung und Abwasserbeseitigung
  • Ernährungswirtschaft, Lebensmittelhandel
  • Finanz- und Versicherungswesen (Banken, Finanzdienstleister, Börsen, Banken, Zahlungsdienstleister, Versicherungen)

Insgesamt dürften nach Schätzungen des Gesetzgebers ca. 2.000 solcher Betreiber in der Bundesrepublik betroffen sein.

 

Welche Anforderungen gelten für Betreiber von kritischer Infrastruktur?

Voraussichtlich ab 14.02.2017 müssen die Betreiber einen Ansprechpartner (sogenannte Kontaktstelle) für IT-Sicherheitsvorfälle definieren und diesen an das BSI melden.

Voraussichtlich ab 14.08.2018 gelten zusätzliche Anforderungen:

  • Mindestniveau an IT-Sicherheit (Umsetzung internationaler Normen und Standards, wie z.B. ISO 27001; Nachweis der Umsetzung durch Sicherheits- und Notfallkonzepte)
  • Nachweis des Mindestniveaus alle 24 Monate durch Sicherheitsaudits, Prüfungen oder Zertifizierungen und Information des BSI. Der Nachweis kann durch die Umsetzung eines Informationssicherheitsmanagementsystems (Sicherheitsorganisation, IT-Risikomanagement, Identifikation von kritischen Unternehmenswerten, Maßnahmen zur Angriffsprävention- und –erkennung, Business Continuity Management, Berücksichtigung von branchenspezifischen Besonderheiten) erbracht werden
  • Durchführung der Audits, Prüfungen und Zertifizierungen durch qualifizierte Prüfer bzw. Zertifizierer (d.h. Qualifikationsnachweise, Erfüllung von ISO-Normen)
  • Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI
  • Unmittelbare Meldepflicht bei erheblichen Störungen, die zu Ausfall oder Beeinträchtigung der Funktionsfähigkeit führen können oder bereits geführt haben
    • Pseudonymisierte Meldung, sofern Störung nicht zu Ausfall oder Beeinträchtigung führt
    • Meldung mit Namen, sofern Störung zu Ausfall oder Beeinträchtigung geführt hat
    • BSI wird Kriterien für meldepflichtige Sicherheitsvorfälle weiterentwickeln
    • mehrere Betreiber können auch eine gemeinsame übergeordnete Ansprechstelle benennen
  • Anforderungen gelten nicht für Kleinstunternehmen (<10 Mitarbeiter, < 2 Mio. € Jahresumsatz)

 

Welche sonstigen Änderungen bringt das IT-Sicherheitsgesetz mit sich?

Das BSI wird die gemeldeten Informationen auswerten und Warnungen über Sicherheitsereignisse mitteilen. So ist denkbar, dass bei Auftreten eines bestimmen Schadensereignisses bei einem Energieversorger, andere Energieversorger darüber informiert werden, so dass diese Präventivmaßnahmen treffen können. Dies soll insbesondere bei Warnungen vor Sicherheitslücken in IT-Produkten und Diensten, bei Schadprogrammen, Datenverlust oder unerlaubtem Zugriff auf Daten der Fall sein. Das BSI kann auch Sicherheitsempfehlungen aussprechen oder sichere Produkte empfehlen. Das BSI wird in einem jährlichen Bericht über die Erkenntnisse informieren.

Telekommunikationsanbieter trifft eine unverzügliche Meldepflicht bei IT-Sicherheitsvorfällen, die zu unerlaubtem Zugriff auf die Systeme von Nutzern oder Beeinträchtigung der Verfügbarkeit führen. Dabei sind das BSI und betroffene Nutzer zu informieren. Da Schadcode häufig über Webseiten verbreitet wird, sind hier ebenfalls Änderungen geplant. Sicherheitslücken in Content Management Systemen oder in Werbebannern werden immer häufiger ausgenutzt, um Webseitenbesuchern unwissend Schadecode unterzujubeln. Daher werden Webseitenbetreiber nun angehalten durch Maßnahmen sicherzustellen, dass weder unerlaubte Zugriff, noch sonstige Datenschutzvorfälle möglich sind. Ein Unterlassen dieser Anforderung ist bußgeldbewehrt. In der Praxis wird sich zeigen, ob Nachlässigkeiten tatsächlich mit einem Bußgeld bestraft werden.

 

Wer profitiert vom IT-Sicherheitsgesetz?

Durch das Gesetz steigen ganz allgemein die Anforderungen an die IT-Sicherheit von Betreibern kritischer Infrastruktur. Diese erhöhten Anforderungen werden das Sicherheitsniveau erhöhen, eine absolute Sicherheit wird dadurch jedoch nicht erreicht, da potentielle Angreifer ihre Vorgehensweisen ebenfalls anpassen werden.

Inwieweit die Meldepflicht eine Verbesserung bedeuten wird, hängt maßgeblich davon ab, wie das BSI mit diesen Meldungen umgeht. Wenn diese nur verwaltungstechnisch gesammelt werden, dann ist dadurch keine Verbesserung zu erwarten. Nur wenn diese Meldungen genutzt werden, um für bekannt gewordene Sicherheitslücken schneller Lösungen zu finden und diese zu kommunizieren, ist hier eine Verbesserung zu erwarten.

Es ist zu erwarten, dass Branchenverbände zunehmend eigene Sicherheitsstandards entwickeln werden. Dabei ist zu hoffen, dass diese Sicherheitsstandards ähnlich transparent sind wie die ISO 27001. Denn nur dann ist eine Bewertung und Überprüfung der Eignung und der Verbesserung des Sicherheitsniveaus überprüfbar.

Als letztes werden natürlich auch Anbieter im Bereich der IT-Sicherheit profitieren, da von den 2000 Betreibern noch nicht jedes Unternehmen so gut aufgestellt sein wird, dass die zukünftigen Anforderungen erfüllt sein werden. Dies bietet somit auch neue unternehmerische Chancen.

Da es sich bislang noch um einen Gesetzentwurf handelt und das finale Gesetz noch nicht verabschiedet wurde, sind noch Änderungen zu erwarten.

No Comments

Post a Comment