Das IT-Sicherheitsgesetz kommt, soviel ist wohl sicher. Aber was wird es bringen? Am 17.12.2014 hat die Bundesregierung über den Entwurf des IT-Sicherheitsgesetzes verhandelt. Ein Entwurf ist bei Netzpolitik.org zu finden.
KRITIS – Kritische Infrastruktur in Deutschland
Wesentliche Regelungen des neuen Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) betreffen die so genannten KRITIS-Unternehmen. Als „Kritische Infrastruktur“ (KRITIS) werden die zentralen Bereiche der Gesellschaft bezeichnet, die für die wirtschaftliche Entwicklung des Landes, für das Wohlergehen der Gesellschaft und für die politische Stabilität notwendig sind. Die Unternehmen, die KRITIS zugerechnet werden, sind Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversorgung und Abwasserentsorgung, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur (Rundfunk, Presse und Kulturgüter).
Diese Unternehmen sind auf sichere Informations- und Kommunikationsstrukturen angewiesen. Die Verfügbarkeit der Systeme sowie die Integrität und Vertraulichkeit der verarbeiteten Informationen müssen gewährleistet werden. Zum Schutz der „Kritischen Infrastrukturen“ in Deutschland gibt es den „Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen“. Dieser sieht bereits heute Maßnahmen zur Verbesserung der Informationssicherheit vor.
Bisher erfolgt die Definition der KRITIS-Unternehmen nur allgemein über die Branche und über die Bedeutung des Unternehmens. Zukünftig soll das Bundesministerium des Inneren per Rechtsverordnung die Zugehörigkeit festlegen; ausgenommen sind lediglich Kleinstunternehmen. Als solche gelten Firmen mit weniger als 10 Mitarbeitern und weniger als 2 Millionen Euro Jahresumsatz. Für alle anderen Unternehmen der genannten Branchen kann es also sein, dass sie dem Bereich KRITIS zugeordnet werden.
Management der Informationssicherheit
Das geplante Gesetz definiert für Unternehmen aus dem Bereich der „Kritischen Infrastrukturen“ spezielle Anforderungen an die Informationssicherheit. So sollen Unternehmen verpflichtet werden, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen „Kritischen Infrastrukturen“ maßgeblich sind.
Zwar müssen die Maßnahmen angemessen sein, allerdings gilt bei der Bewertung der Angemessenheit, dass der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen „Kritischen Infrastruktur“ steht darf. In Anbetracht der Definition eines KRITIS-Unternehmens, ist bei einer Beeinträchtigung sicherlich in den meisten Fällen mit weitreichenden Folgen zu rechnen.
Diese Anforderung zielt auf ein Informationssicherheits-Managementsystem konform zur ISO 27001. Zusätzlich wird die Möglichkeit eröffnet, dass die Branchen eigene Standards zur Informationssicherheit definieren. Diese werden vom Bundesamt für Sicherheit in der Informationstechnik auf ihre Eignung geprüft.
Für die Einführung der Maßnahmen wird eine Übergangsfrist von zwei Jahren geplant. Die getroffenen Maßnahmen müssen dem Stand der Technik entsprechen und zugleich angemessen sein. Bei der Prüfung, ob eine Maßnahme angemessen ist, sind der erforderliche Aufwand und insbesondere die aufzuwendenden Kosten zu berücksichtigen. Die Maßnahmen müssen von den Betreibern in Sicherheits- und Notfallkonzepten niedergelegt werden, um deren Umsetzung zu dokumentieren.
Audit und Zertifizierung
Die Unternehmen sollen verpflichtet werden, die Umsetzung der Maßnahmen mindestens alle zwei Jahre durch geeignete Maßnahmen wie Audits oder Zertifizierungen nachzuweisen. Die genaue Ausgestaltung der Audits wird dabei nicht im Gesetz geregelt, sondern soll u.a. auch branchenspezifische Ansätze berücksichtigen. Bei Zertifizierungen nach internationalen, europäischen oder nationalen Standards, wie z.B. ISO 27001, kann laut Begründung des Gesetzesentwurfs auf die bestehenden Zertifizierungsstrukturen zurückgegriffen werden.
Im Rahmen der Meldung der Auditergebnisse sind auch alle festgestellten Abweichungen und Sicherheitsmängel zu melden. Das Bundesamt für Sicherheit in der Informationstechnik kann dann die Beseitigung dieser Mängel verlangen.
Meldepflicht
Es ist weiterhin vorgesehen, dass die KRITIS-Unternehmen bedeutende Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen „Kritischen Infrastrukturen“ führen können, zu melden haben. Beachtenswert ist dabei, dass bereits die Möglichkeit einer Beeinträchtigung genügt, um die Meldepflicht auszulösen. Damit soll sichergestellt werden, dass andere Unternehmen, die eventuell auch betroffen sind, rechtzeitig gewarnt werden.
Produktprüfungen und Sicherheitswarnungen
Das BSI soll zukünftig auch eine Funktion ähnlich der Stiftung Warentest wahrnehmen. Es soll dazu auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte, Systeme und Dienste untersuchen. Die Ergebnisse dieser Untersuchungen sollen dann auch durch das BSI weitergeben und veröffentlicht werden können. Es ist daher davonauszugehen, dass das BSI nach Inkrafttreten des Gesetzes beginnen wird, verschiedene Dienstleistungen oder Softwareprodukte, deren Sicherheit von einem gewissen Interesse ist, zu testen. Da das BSI auch die Kompetenz erhalten soll, Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten an die Öffentlichkeit zu richten, kann dies zu schwerwiegenden Auswirkungen für ein Unternehmen führen. Im schlimmsten Fall finden sich z. B. Anbieter von Virenschutzprogrammen oder Mailprovider dann plötzlich in einer negativen Veröffentlichung des BSI wieder.
Telemediengesetz
Das Telemediengesetz soll ebenfalls um konkretere Sicherheitsanforderungen für die Dienstanbieter erweitert werden. So sollen zukünftig alle Dienstanbieter sicherstellen, dass kein unerlaubter Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten und Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Diese Anforderung gilt für alle kommerziellen Dienstanbieter inkl. werbefinanzierten Webseiten, sofern hierüber entsprechende Einnahmen erzielt werden. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.
In der Begründung zum Gesetzesentwurf werden verschiedene Maßnahmen genannt, die zur Erfüllung dieser Anforderungen in Betracht kommen. Es wird dabei insbesondere auf ein Patchmanagement zum regelmäßigen Einspielen von Sicherheitspatches sowie auf die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens und eines angemessenen Authentifizierungsverfahrens verwiesen.
Ein Verstoß gegen diese Pflichten durch die Nichtumsetzung von Maßnahmen oder die Umsetzung von Maßnahmen, die nicht dem Stand der Technik entsprechen, wird zukünftig durch Bußgelder bis zu fünfzigtausend Euro geahndet.
Fazit
Das geplante IT-Sicherheitsgesetz wird, wenn es in der vorliegenden Fassung in Kraft tritt, weitreichende Auswirkungen für Unternehmen haben. Besonders die Notwendigkeit ein Managementsystem für Informationssicherheit zu betreiben und die damit einhergehenden Meldepflichten dürften für viele Unternehmen zu größeren Aufwänden im Unternehmen führen.