Das neue IT-Sicherheitsgesetz – was bedeutet es konkret?

Mit dieser Frage müssen sich aktuell eine ganze Reihe von Geschäftsführern und Sicherheitsbeauftragten in unterschiedlichsten Unternehmen und öffentlichen Verwaltungen beschäftigen. Ziel des Gesetzes ist, die IT-Sicherheit von Unternehmen – insbesondere von denen, die den Kritischen Infrastrukturen zugeordnet werden – zu erhöhen. Dafür wird den Betreibern der Kritischen Infrastrukturen vorgeschrieben, ein Mindestmaß an IT-Sicherheit nachzuweisen und IT-Sicherheitsvorfälle dem BSI zu melden. Daraus ergeben sich im Wesentlichen die folgenden drei Fragen:

1. Wer gehört zu den Kritischen Infrastrukturen?

Im aktuell vorliegenden Entwurf schätzt man 2000 meldepflichtige Betreiber Kritischer Infrastrukturen. Konkret heißt es dazu:

(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden

Und ergänzend dazu:

„Die weitere Konkretisierung bedarf der sektor- und branchenspezifischen Einbeziehung aller betroffenen Kreise (Verwaltung, Wirtschaft und Wissenschaft). Die jeweils anzulegenden Maßstäbe können nur in einem gemeinsamen Arbeitsprozess mit Vertretern der möglicherweise betroffenen Betreiber Kritischer Infrastrukturen und unter Einbeziehung der Expertise von externen Fachleuten in sachgerechter Weise erarbeitet werden. Hinzu kommt, dass der technische und gesellschaftliche Wandel sowie die im Rahmen der Umsetzung der neuen gesetzlichen Vorgaben gemachten Erfahrungen in den Folgejahren gegebenenfalls Anpassungen erforderlich machen. Die nähere Bestimmung der Kritischen Infrastrukturen ist daher gemäß Satz 2 einer Rechtsverordnung vorbehalten. Diese ist auf der Grundlage von § 10 Absatz 1 des BSI-Gesetzes zu erlassen. Hierbei ist vorgesehen, die Einteilung der Kritischen Infrastrukturen nach den Kriterien Qualität und Quantität vorzunehmen.“ 

Für „klassische“ KRITIS-Unternehmen ist die Zuordnung damit klar. Für alle anderen Unternehmen in diesen Sektoren ist eine Konkretisierung innerhalb einer Rechtsverordnung noch zu erwarten, vorher lässt sich die Zielgruppe des Gesetzes nicht in vollem Umfang definieren. Aufgrund der fehlenden Gesetzgebungskompetenz der Bundesregierung ergeben sich Auswirkungen des Gesetzes zwar für Bundesbehörden, aber im Bereich der Kommunalverwaltungen sind die Auswirkungen nur eingeschränkt auf klassische Wirtschafts- bzw. Eigenbetriebe (z. Bsp. Wasserversorgung) zu erwarten.

2. Wie definiert sich das Mindestmaß an IT-Sicherheit?

Die KRITIS-Unternehmen müssen zwei Jahre nach Inkrafttreten angemessene technische und organisatorische Maßnahmen ergreifen. Dabei muss der Aufwand im Verhältnis zu den Folgen eines möglichen Sicherheitsvorfalls stehen, hier wird auf „den Stand der Technik“ verwiesen. Als Mindestmaß an Informationssicherheit können die Standards ISO 27001, ISO 27002 und die BSI Grundschutzstandards bzw. -kataloge als Grundlage gesehen werden, dabei auch mit den branchenspezifischen Konkretisierungen (z. Bsp. Energieversorgungsunternehmen ISO 27019 bzw. der von der Bundesnetzagentur vorgestellte Sicherheitskatalog). Entsprechende Sicherheits- und Notfallkonzepte sollen dafür vorliegen.

Ein Nachweis ist mindestens alle zwei Jahre durch „Sicherheitsaudits, Prüfungen oder Zertifizierungen“ zu erbringen, auch hier fehlt eine konkrete Vorgabe zur Art. Geprüft werden soll, ob

  • geeignete und wirksame Maßnahmen befolgt werden
  • ein Informationssicherheitsmanagenemt (ISMS mit IT-Risikomanagement) betrieben wird
  • kritische Assets identifiziert wurden
  • und ein Notfallmanagement (BCM) implementiert wurde.

Es liegt im Ermessen des Prüfers, die Nachweise zu bewerten, wobei die Qualifikation des Prüfers dem BSI glaubhaft gemacht werden soll. Hierbei soll durchaus auf die bereits bestehenden (inter-)nationalen Prüf- und Zertifizierungsstandards zurückgegriffen werden (z. Bsp. ISO27001, BSI). Wer sich bei dieser Frage an allgemeine Standards hält, kann dabei sicher nichts falsch machen.

3. Was sind meldepflichtige Vorfälle?

Erhebliche Störungen liegen dann vor, wenn dadurch die Funktionsfähigkeit der kritischen Dienstleistung bedroht ist. Nicht erhebliche Störungen sind dabei tagtäglich vorkommende Ereignisse (übliche Hardwareausfälle, Spam, Viren etc). Hier geht man im Gesetzentwurf von einer Anzahl von 7 meldepflichtigen („erheblichen“)  Vorfällen pro Betreiber und pro Jahr aus, die anonym gemeldet werden sollen (in Ausnahmefällen unter Nennung des Unternehmensnamens). Eine konkrete Definition eines Sicherheitsvorfalls bleibt der Text allerdings schuldig, das BSI schreibt dazu im entsprechenden Baustein der Grundschutzkataloge:

„Als Sicherheitsvorfall wird dabei ein unerwünschtes Ereignis bezeichnet, das Auswirkungen auf die Informationssicherheit hat und in der Folge große Schäden nach sich ziehen kann.“

Und weiter in der zugehörigen Maßnahme „M6.122 Definition eines Sicherheitsvorfalls“:

„Eine weitestgehend formale Definition ohne zu breite Interpretationsspielräume kann den Start dieses Prozesses zusätzlich erleichtern.“

Zukünftig wird das BSI konkrete Kriterien für meldungsrelevante Sicherheitsvorfälle entwickeln. In diesem Zusammenhang müssen die Betreiber Kritischer Infrastrukturen innerhalb der nächsten sechs Monate eine Kontaktstelle einrichten, über die sie jederzeit erreichbar sind..

Abschließend lässt sich die Frage „Was bedeutet es konkret?“ wohl derzeit noch nicht abschließend beantworten, hier sind sicher noch einige (juristische) Bewertungen und Diskussionen erforderlich. Sicher kann man aber schon sagen, dass das Thema Informationssicherheit mit einer Zertifizierung immer stärker in den Fokus rücken wird – bei den direkt betroffenen Unternehmen unmittelbar und sofort. Die indirekt Betroffenen können die aktuellen Entwicklungen noch verfolgen, sollten sich aber ebenfalls mit der Einführung eines ISMS beschäftigen. Darunter fallen auch die Dienstleister, die Betreiber Kritischer Infrastrukturen in ihrem Kundenkreis haben.

Nach der Zustimmung im Bundestag und der Verabschiedung im Bundesrat steht jetzt noch die Unterschrift des Bundespräsidenten aus, das scheint aber nur noch eine Formsache zu sein. Unmittelbar danach soll das Gesetz in Kraft treten.