Kolumne

IT-Sicherheitsgesetz [Teil 1]

Kritische Infrastrukturen sicher machen

Stefan Sulistyo [Alyne]25.08.2015, 11:14

Das "Gesetz zur Verbesserung der Sicherheit informationstechnischer Systeme" ist kein für sich alleinstehendes Gesetz wie das Bundesdatenschutzgesetz (BDSG) oder das Telemediengesetz (TMG). Stattdessen enthält es eine Reihe von Modifikationen und Ergänzungen für verschiedene bestehende Gesetze.

Diese sind unter anderem:

Der inhaltliche Fokus liegt dabei eindeutig auf der Vermeidung von Ausfällen oder Störungen in den sogenannten Kritischen Infrastrukturen. Doch was sind diese Kritischen Infrastrukturen überhaupt? Das Gesetz äußert sich folgendermaßen dazu in § 2 Abs. 10 BSIG:

"(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.   den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2.   von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."

Hört sich etwas vage an, oder? Aber dazu später mehr...

Warum wurde es eingeführt und warum jetzt?

Beim Thema IT-Sicherheit ist schon seit einigen Jahren zu beobachten, dass das öffentliche Interesse und die Berichterstattung immer mehr zunimmt. Dabei bleibt auch der Eindruck, dass es zu immer mehr und immer größeren Vorfällen kommt. Dies ist auch kaum verwunderlich angesichts der immer weiter voranschreitenden Digitalisierung der Gesellschaft und der Durchdringung von Informationstechnologie in alle Bereichen des Lebens.

So heißt es denn auch in der Gesetzesbegründung der im Bundestag beschlossenen Fassung:

"Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Ziel des Gesetzes sind die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA)."

Interessanterweise fand auch gerade zur Zeit der Abstimmung eine medienwirksame Cyber-Attacke auf den Bundestag statt. Da könnte man natürlich jetzt alle möglichen Verschwörungstheorien bemühen, jedoch ist meiner Ansicht nach davon auszugehen, dass das Gesetz so oder so zu diesem Zeitpunkt durchgekommen wäre, auch ohne diese Zusatz-Publicity. Dabei gibt es ein paar kleine aber signifikante Änderungen zwischen der eingereichten und dann vom Bundestag beschlossenen Fassung (durch den Bundesrat ging es dann unverändert). Schön zusammengefasst sieht man das hier bei den berühmt-berüchtigten Netzpolitikern beziehungsweise bei Rainer Gerling.

Jetzt ist es also seit dem 25. Juli 2015 durch Veröffentlichung im Bundesanzeiger in Kraft, und nun?

 

 

Für wen ändert sich etwas?

Das Spannende bei solchen neuen Gesetzen ist ja zunächst auch einmal der Scope, beziehungsweise wer ist betroffen und wer muss was tun.

Dies wären zunächst einmal die bereits erwähnten Betreiber Kritischer Infrastrukturen. Doch hier fängt bereits der erste Knackpunkt an: Wer genau dazu gehört, ist im Gesetz nicht geregelt, sondern ist durch eine noch zu fassende Rechtsverordnung des Innenministeriums zu bestimmen. Es gibt derzeit noch keine Indikation, wann diese Verordnung zu erwarten ist. In der Gesetzesbegründung gehen die Autoren von maximal 2000 Betreibern aus, die unter die Bestimmungen des Gesetzes fallen.

Dabei ist anzumerken, dass KMUs nach EU Definition (das heißt weniger als 250 Mitarbeiter und weniger als 50 Millionen Euro Umsatz oder weniger als 43 Millionen Euro Bilanzsumme) von wesentlichen Teilen des Gesetzes ausgenommen sind (insbesondere Kontakt- und Meldepflichten, sowie die Einhaltung von Mindeststandards und der regelmäßige Nachweis derselben).

Für bestimmte Branchen gibt es zudem zum Teil bereits existierende Regelungen, sowie durch das IT-Sicherheitsgesetz angepasste Teile in den diese Branchen betreffenden Gesetzen. Diese sind im Einzelnen:

  • Telekommunikationsdienstleister, die dem TKG unterliegen und bereits bestehende Meldewege an die Bundesnetzagentur für Datenschutzvorfälle haben. Das IT-Sicherheitsgesetz erweitert diese Verpflichtungen im Wesentlichen um die Schutzziele der Verfügbarkeit und Integrität. Zudem wird die Pflicht zur Vorlage von Sicherheitskonzepten bei der BNetzA erweitert um die Mindeststandards.
  • Betreiber, die dem Atomgesetz unterliegen. Erweiterung um Meldepflicht für IT-Sicherheitsvorfälle, die die nukleare Sicherheit gefährden.
  • Betreiber, die dem Energiewirtschaftsgesetz unterliegen. Hier erfolgt die Meldung von Vorfällen ebenfalls wie bei Telekommunikationsunternehmen zunächst an die BNetzA. Diese hat außerdem auch das letzte Wort bezüglich der Ausgestaltung der branchenspezifischen Mindeststandards im Gegensatz zu anderen Branchen, wo das BSI dazu federführend ist.

Eine Besonderheit besteht desweiteren für Hersteller von informationstechnischen Produkten und Systemen, die bei den betroffenen Organisationen für den Betrieb der Kritischen Infrastrukturen verwendet werden. Nach § 8b Abs. 6 BSIG kann das BSI diese Hersteller verpflichten, an der Beseitigung oder Vermeidung von Störungen mitzuwirken. Das könnte potenziell dazu führen, dass es beispielsweise einem hypothetischen mittelständischen Hersteller von spezialisierter SCADA-Wasserwerks-Steuersoftware das Genick bricht, wenn jemand ausprobiert, ob sie die Werte der Gasdruck-Sensoren bei den örtlichen Stadtwerken modifizieren können und das BSI alle wichtigen Mitarbeiter dieses Mittelständlers für die Incident Response zwangsvergattert.

Kommen wir nun noch zu einem Teil der Gesetzgebung, der nach meiner Einschätzung zunächst einmal den größten Handlungsbedarf haben wird, weil derzeit vermutlich der größte Gap zwischen Soll- und Ist-Zustand liegt:

Durch Änderung am TMG sind nun alle Betreiber von geschäftlich genutzten Telemediendiensten (also beispielsweise alle Webshops, Online-Medien, Umsatz generierende Blogs usw.) dazu verpflichtet, technische organisatorische Maßnahmen nach Stand der Technik einzusetzen, um den unbefugten Zugriff auf ihre Systeme zu verhindern, die zu Datenschutzverletzungen oder Störungen (beispielsweise Denial of Service Angriffe) führen könnten. Die sonstige Ausnahmeregelung für KMU gilt hier übrigens nicht, sondern wirklich alle Anbieter von gewerblichen Telemedien sind in der Pflicht, egal ob Einzelperson oder Großkonzern.

"Was ist da jetzt anders als die bereits in der Anlage zu §9 BDSG genannten Regelungen?", könnte der geneigte Leser fragen. Erfahren Sie dazu mehr im No linkhandler configuration found for tt_news., in dem ich über die konkreten Anforderungen des IT-Sicherheitsgesetzes schreibe, beziehungsweise welche Konsequenzen bei Nichtbefolgung drohen.

Autor:

Stefan Sulistyo, Co-Founder & CCO of Alyne, 10+ year InfoSec & GRC veteran.

No linkhandler configuration found for tt_news.

[ Bildquelle: © igor - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Interview

Smarte Maschinen: Diener oder Dämonen?

Wie Künstliche Intelligenz unser Leben verändert ...

Redaktion RiskNET10.12.2018, 20:23

Ulrich Eberl, Zukunftsforscher und Buchautor, reiste in seiner Keynote "Smarte Maschinen – neue Sicherheitsanforderungen im Zeitalter der Künstlichen Intelligenz" auf dem RiskNET Summit...

Studie

Klima-Risiko-Index

Risiken zukünftiger klimabedingter Schäden

Redaktion RiskNET05.12.2018, 07:53

Mit mehr als 11.500 Todesopfern und über 375 Milliarden US-Dollar (in Kaufkraftparitäten) Schäden geht das Jahr 2017 als das bisher verheerendste Extremwetterjahr weltweit in die jüngere Geschichte...

Kolumne

Neue Slogans oder ein Gebot der Stunde?

Robuste Energiesysteme und resiliente Menschen

Herbert Saurugg19.11.2018, 17:07

In den vergangenen Jahrzehnten hat die technische Vernetzung rasant zugenommen. Ermöglicht wurde diese durch eine zunehmend leistungsfähigere Informations- und Kommunikationstechnik (IKT). Kaum ein...

Interview

Emotionalität und Risiko

Wege zu einem intelligenten Risikomanagement

Redaktion RiskNET12.11.2018, 17:15

So ziemlich jede unternehmerische Entscheidung basiert auf einem Abwägen von Chancen und Risiken. Allerdings tendiert unser Gehirn dazu, Sinneseindrücke und Informationen möglichst einfach und...

Kolumne

Reputations-Risikomanagement

Die größten Risiken für Marken

Wolfgang Schiller [Redaktion RiskNET]07.11.2018, 07:51

Marken als Vertrauenssysteme gewinnen und binden am effizientesten Kunden als die einzigen Wertschöpfungstreiber an das Unternehmen. Sie bieten eine attraktive Plattform für die Produkte des...