IT-Sicherheitsgesetz verabschiedet – das kommt auf Unternehmen zu Schritt in die richtige Richtung

28. September 2015

Das IT-Sicherheitsgesetzes (IT-SiG) mit dem allumfassenden Namen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ stellt Anforderungen für Mindeststandards an IT-Sicherheit auf und definiert Meldepflichten für erhebliche IT-Sicherheitsvorfälle. Betroffen sind insbesondere „Betreiber Kritischer Infrastrukturen“ aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. IT-SiG ist bei allen Schwächen ein Schritt in die richtige Richtung.

Geltungsbereich unklar

Vor dem Hintergrund zunehmender Cyberangriffe auf Unternehmen, auf Betreiber kritischer Infrastrukturen (KRITIS) und auf staatliche Institutionen, verfolgt die Bundesregierung mit dem kürzlich verabschiedeten IT-Sicherheitsgesetzes (IT-SiG) das Ziel, die IT-Sicherheit in Deutschland signifikant zu verbessern. Das Gesetz mit dem allumfassenden Namen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ stellt Anforderungen für Mindeststandards an IT-Sicherheit auf und definiert Meldepflichten für erhebliche IT-Sicherheitsvorfälle. Betroffen sind insbesondere Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Nach wie vor unklar ist, welche Unternehmen nun genau „Betreiber Kritischer Infrastrukturen“ sein sollen. Die exakte Definition „Kritischer Infrastrukturen“ und damit die Abgrenzung des Geltungsbereiches des Gesetzes sind weiterhin offen und werden erst per Rechtsverordnung durch das BMI (unter Einbeziehung der betroffenen Kreise aus Verwaltung, Wirtschaft und Wissenschaft) genauer festgelegt. Während der Gesetzesentwurf nach „aktuellen Schätzungen“ die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2000 sieht, kommt eine Studie im Auftrag des BDI auf bis zu 18.000 Großunternehmen in den KRITIS-Sektoren. Hier drängt sich der Verdacht auf, dass der Gesetzgeber bei seinen Planungen von erheblich zu niedrigen Zahlen ausgegangen ist.

Abgrenzung

Das IT-SiG ist kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen bereits bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Für Energienetzbetreiber (Strom und Gas) ändert sich durch das IT-SiG zunächst nur wenig, da sie bereits dem Energiewirtschaftsgesetz (EnWG) unterliegen und gesetzlich zur Umsetzung des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA) und zur Einhaltung von Mindeststandards zur IT-Sicherheit im Netzbetrieb verpflichtet sind.

Anderes gilt bei Energieanlagenbetreibern und ggf. auch Energiehändlern, die virtuelle Kraftwerke betreiben. Sie kommen jetzt in die Obhut der BNetzA und unterliegen damit neu dem BnetzA IT-Sicherheitskatalog. Zudem ändern sich die Meldewege für Sicherheitsvorfälle (BSI statt BNetzA) und die damit verbundenen Auskunftspflichten gegenüber dem BSI.

Für Umsetzungsprojekte bei EVUs bleibt noch die Veröffentlichung der endgültigen Version der IT-Sicherheitskataloge für Netz- und Anlagenbetreiber (sowie die Rechtsverordnung zu den KRITIS-relevanten Energieanlagen) abzuwarten, die allgemein für Q3/2015 erwartet wird. Die umzusetzenden Mindeststandards orientieren sich an der internationalen Normenreihe ISO/IEC 2700x, ergänzt um den IT-Sicherheitskatalog für Energienetze und -anlagen der Bundesnetzagentur (BNetzA).

Im Kern wird die Einführung eines Informationssicherheitsmanagementsystems (ISMS, engl. Information Security Management System) – wie in der ISO/IEC 27001 beschrieben – verlangt. Weiterhin etabliert das IT-SiG eine Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen und verlangt die Einrichtung einer Kontaktstelle für die Störungsmeldungen, spätestens sechs Monate nach Erlass der Verordnung. Im Zwei-Jahres-Rhythmus ist nachzuweisen, wie diese Mindestanforderungen erfüllt werden.

Analyse und Planung

Mit Blick auf die zu erwartenden gesetzlichen Fristen zur Einführung eines ISMS sollten EVUs und andere Unternehmen der KRITIS-Sektoren schon jetzt in die Planung einsteigen. Die Einführung eines ISMS und dessen Zertifizierung innerhalb von zwei Jahren bei Unternehmen, die hierfür noch keine ausreichenden Vorarbeiten aufweisen können, ist nahezu ein Ding der Unmöglichkeit. Der hierfür benötigte Aufwand auch bei den eigenen Mitarbeitern wird zumeist unterschätzt und ohne externe Hilfe mit fundierten Kenntnissen der ISO-Methodiken wird die Zielsetzung der Zertifizierungsfähigkeit nicht erreichbar sein. Weiterhin ist bei den prognostizierten Tausenden von betroffenen Unternehmen ein Run auf die entsprechend erfahrenen Beratungsunternehmen zu erwarten. Es empfiehlt sich also zur eigenen Risikominimierung, sich frühzeitig mit den Auswirkungen des IT-SiG zu beschäftigen.

Eine ausführliche Diskussion des IT-SiG mit Details der Auswirkungen insbesondere für EVUs und andere KRITIS-Unternehmen findet sich im aktuellen Security Journal der GAI NetConsult. „Auch wenn viele Experten das IT-SiG mit dem berühmten Sprichwort too little, too late kommentieren, ist es ein Schritt in die richtige Richtung“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Wir erwarten durch das IT-SiG, dass sich deutlich mehr Unternehmen in den KRITIS-Branchen intensiver mit dem Schutz ihrer Daten und Infrastruktur auseinandersetzen. Die Einführung eines Informationssicherheitsmanagementsystems sollte – unabhängig von den konkret gesetzlich geforderten Maßnahmen – immer die Basis einer Informationssicherheitsstrategie sein.“ (rhh)

Hier geht es zum Security Journal der GAI NetConsult.

Lesen Sie auch