Am 12.06.2015 hat der Bundestag ein neues IT-Sicherheitsgesetz veröffentlicht das seit diesem Wochenende in Kraft ist.

Mit der Verabschiedung des Gesetzes sollen Bürger geschützt und die Sicherheit von Unternehmen im Internet verbessert werden. Die digitalen Infrastrukturen Deutschlands sollen so zukünftig zu den sichersten weltweit zählen.

Betreiber Kritischer Infrastrukturen aus den Bereichen

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung sowie
  • Finanz- und Versicherungswesen

müssen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Kritische Infrastrukturen (KRITIS)

Das Bundesamt für Sicherheit in der Informationstechnik definiert kritische Infrastrukturen wie folgt:

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Wachsende Anforderungen an Unternehmen

Gleichzeitig werden mit dem IT-Sicherheitsgesetz auch die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Die IT-Sicherheit im Internet soll so zusätzlich erhöht werden. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.

Auf Unternehmen kommen mit dem Gesetz weitreichende Änderungen und Anforderungen zu.

Was genau gefordert ist, wird allerdings erst in der Rechtsverordnung zum IT-Sicherheitsgesetz zu finden sein. Denn im Gesetzt sind die geforderten Maßnahmen eher schwammig formuliert als konkret ausgeführt. Nicht immer ist klar, was die neue Rechtslage genau erfordern wird.

Die wichtigsten Fragen zum IT-Sicherheitsgesetz:

Worum geht es und wer muss die neuen Regeln erfüllen?

Mit dem Gesetz sollen wichtige Wirtschaftsbereiche vor Cyberattacken und den damit verbundenen Ausfällen geschützt werden.

Denn Angriffe in diesen Bereichen können sich auf das Gemeinwesen auswirken. Deshalb sollen die neuen Regelungen sicherstellen, dass etwa Wasserversorgung, Bahnverkehr und Telekommunikation nicht gefährdet werden.

Das Gesetz soll also die Gefahr von Cyberangriffen reduzieren. Die Meldepflicht trägt dazu bei, sich zukünftig besser gegen neue Angriffe zu schützen. Auch wenn das Gesetz keine absolute Sicherheit bringen kann, machen es die neuen Regeln Hacker zumindest schwerer.

Zukünftig sollen sich Unternehmen selbst besser vor Angriffen aus dem Internet schützen. Dafür sind gewisse Mindestanforderungen zu erfüllen. Für die Erfüllung der Auflagen haben Unternehmen 2 Jahre Zeit.

Konzerne müssen zusätzlich bei Attacken durch Hacker eine Meldung an das BSI schicken. Der Konzernname wird nur genannt, wenn der Ausfall von Systemen droht. Ansonsten bleiben die Vorfälle anonym.

Telekommunikationsanbieter müssen in Zukunft ihre Kunden warnen, wenn sie den Missbrauch einer Website oder einen Angriff auf einen Computer feststellen. Zur Angriffserkennung dürfen die Anbieter die Verkehrsdaten aufzeichnen und 6 Monate lang speichern.

Besonders Telekommunikationsanbieter und Energieversorger, aber auch die Branchen Transport und Verkehr, Gesundheit, Wasser, Ernährung und das Finanz- und Versicherungswesen fallen unter die Definition der KRITIS.

Hackerangriffe in diesen Bereichen haben große Auswirkungen auf das Gemeinwesen. Deshalb müssen Unternehmen aus diesen Bereichen besonders auf ihre IT-Standards achten

Die Rechnung ist einfach. Je weniger ein Unternehmen bisher in seine IT-Sicherheit investiert hat, desto teurer wird das Gesetz jetzt. In Abhängigkeit von der Unternehmensgröße können die notwendigen Investitionen den Unternehmen Millionen kosten.

Der Branchenverband Bitkom schätzt die zusätzlichen Kosten für die deutsche Wirtschaft auf 1,1 Milliarden €/Jahr – und das allein für die vorgesehene Meldepflicht schwerer IT-Sicherheitsvorfälle.

Umgesetzt müssen die neuen Vorgaben voraussichtlich ab Anfang 2018 werden. Doch bereits jetzt können die IT-Verantwortlichen erste Schritte einleiten, falls sie befürchten unter die KRITIS zu fallen und Nachholbedarf seitens der IT sehen.

Auch wenn der Strafbetrag von 100.000€ relativ gering ausfällt, kommen Unternehmen nicht darum herum ihren Fokus zukünftig stärker auf die IT-Sicherheit zu legen.

Spätestens mit der gegen Jahresende erwarteten Konkretisierung des IT-Sicherheitsgesetzes, können sich die Verantwortlichen nicht mehr hinter vagen Vorschriften verstecken. Die Vorgaben sollten spätestens zum Jahreswechsel klar sein und Geschäftsführer können dann leichter haftbar gemacht werden.

Dennoch bringt das neue IT-Sicherheitsgesetz auch Positives mit sich. Unternehmen sollten zukünftig besser wissen, was genau sie zu machen haben. Außerdem ist der BSI zukünftig dazu verpflichtet größere Vorfälle bei Wettbewerbern mitzuteilen. KRITIS sind beim Thema IT-Sicherheit nicht mehr auf sich alleine gestellt.

3 Maßnahmen, die Sie bereits im Vorfeld treffen können

Nach dem Inkrafttreten der Rechtsverordnung zum IT-Sicherheitsgesetz bleiben Unternehmen 2 Jahre Zeit, ihre IT-Sicherheit auf den aktuellen Stand der Technik zu bringen und auch dort zu halten. Werden die Anforderungen nicht erfüllt, drohen Bußgelder.

Experten gehen davon aus, dass Unternehmen zukünftig zur Einführung eines Information Security Management System (ISMS) verpflichtet werden und dieses nach ISO/IEC 27001 zertifizieren müssen.

Je nachdem wie viel Unternehmen bisher in die IT-Sicherheit investiert haben, kann eine Übergangsfrist von 2 Jahren relativ knapp sein.

Dennoch gibt es einige vorbereitende Maßnahmen, die zu empfehlen sind.

1. Ist-Analyse der Prozesse und Infrastruktur

Für die Einschätzung der notwendigen Maßnahmen starten Unternehmen am besten mit der Ist-Analyse ihrer Prozesse und Infrastruktur unter Betrachtung aller Geschäftsbereiche.

Eine Abgrenzung zwischen IT und Betriebstechnik ist nicht sinnvoll.

Empfehlung:

Der effizientere und sichere Weg ist es das Unternehmen von Anfang an ganzheitlich zu betrachten. Wird dies nicht gemacht, läuft man Gefahr die notwenigen IT-Services später doppelt aufbauen und betreiben zu müssen.

2. ISMIS (Information Security Management System) für eine ganzheitliche Betrachtung des Unternehmens

Um Unternehmen ganzheitlich zu betrachten ist die Einführung eines ISMS ratsam. Es gibt klare Richtlinien, Verfahren und Regeln vor. Diese verfolgen den Zweck, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuhalten und fortlaufend zu verbessern.

Unternehmen erhalten mit ISMIS einen effektiven Standard, der das Handling von Informationssicherheit auf Basis definierter Management-Prinzipien deutlich vereinfacht.

Was Sie bei der Einführung eines effizienten ISMS beachten müssen

Mittels einer Risiko-Analyse gilt es Verfügbarkeit, Vertraulichkeit und Integrität zu überprüfen. Folgende Fragen sind zu klären.

  • Wie ist das Unternehmen aufgestellt?
  • Welche Prozesse und Systeme sind kritisch

Gleichzeitig müssen auch die Informationen und Assets klassifiziert werden. Denn je nach Klassifikation leiten sich weitere Maßnahmen ab.

Um diese Aufgabe zu erfüllen, sollten Unternehmen entsprechende Ressourcen einplanen und zur Verfügung stellen. Das kann unter Umständen auch heißen, die eigene IT-Abteilung auszubauen.

Im Betrieb trägt das ISMS später zu langfristigen Ressourcen- und Kosteneinsparungen bei.

3. Budgets einplanen

Welche Kosten genau auf die Betreiber kritischer Infrastrukturen zukommen, ist zum gegenwärtigen Zeitpunkt noch nicht absehbar.

Die zu ergreifenden Maßnahmen sollen zwar in einem angemessenen Verhältnis zu den Security-Zielen, dennoch sollten gerade KRITIS mit bisher geringen Investitionen in die IT-Sicherheit entsprechende Budgets einplanen.

Auch die Kosten, die durch die Meldepflicht für Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) entstehen, müssen beachtet werden.

Um die Anforderung zu erfüllen müssen Unternehmen einen effizienten Incident-Prozess aufbauen.