UPDATE: Das IT Sicherheitsgesetz. KRITIS Betreiber sollten nun handeln

Speziell in den letzten 6 Monaten gab es vermehrt Cyber-Attacken auf Einrichtungen im Gesundheitswesen und im speziellen auf Krankenhäuser. (Artikel auf Welt.de). Allein in NRW waren dieses Jahr bereits über 40 Kliniken betroffen. Veraltete Sicherheitstools, unzureichende Passwörter, keine Verschlüsselungssoftware – immer wieder stellt sich die Frage, ob Unternehmen und ihre Daten ausreichend vor Cyberangriffen geschützt sind. Mitte 2015 wurde das IT-Sicherheitsgesetz verabschiedet, das für einen Mindeststandard an Sicherheit für IT-Systeme sorgen soll. So soll mehr Bewusstsein für die Problematik entwickelt und der Austausch von Informationen über mögliche Bedrohungen und Sicherheitslücken verstärkt werden.

 

Wer ist vom IT-Sicherheitsgesetz betroffen?

Das IT-Sicherheitsgesetz richtet sich insbesondere an Betreiberkritischer Infrastrukturen (KRITIS). Gemeint sind beispielsweise Krankenhäuser, Energie- und Wasserversorger, aber auch Anbieter in den Bereichen Telemedien und Telekommunikation. Durch das IT-Sicherheitsgesetz sollen KRITIS-Betreiber dazu angehalten werden, mehr Sicherheitsvorkehrungen zu treffen. Denn bei Ausfällen und Störungen solcher Einrichtungen drohen Einschränkungen, die im schlimmsten Fall die öffentliche Sicherheit gefährden können. Außerdem sind KRITIS-Betreiber häufig untereinander vernetzt, wodurch Störungen einer Einrichtung schnell andere Betreiber betreffen könnten. Eine genaue Auflistung der Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, finden Sie auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik (link zum BSI).

 

IT-Sicherheitsgesetz im Überblick

Die Verpflichtungen des IT-Sicherheitsgesetztes gelten seit dessen Inkrafttreten am 25.07.2015. Innerhalb einer Übergangsfrist von zwei Jahren müssen bestimmte KRITIS-Betreiber (Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser) die geforderten Maßnahmen umsetzen. Nach Ablauf dieser Frist werden Verstöße mit Bußgeldern geahndet. Ab April 2017 folgen dann die KRITIS-Betreiber Finanzen, Transport und Verkehr, sowie Gesundheit. 

 

       Schutzmaßnahmen 

Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen “angemessene organisatorische und technische Vorkehrungen [...] zu treffen”, um Störungen in den Abläufen der IT-Systeme zu vermeiden. Die Maßnahmen sollen sich an dem “Stand der Technik” orientieren. Das IT-Sicherheitsgesetz verzichtet an einigen Punkten auf genaue Definitionen und greift zu vagen Formulierungen wie “Stand der Technik”.

Allerdings ist verständlich, dass sich der Gesetzgeber nicht auf die Festlegung bestimmter Normen einlässt. Zu schnell ändern sich diese, als dass ein Gesetzestext mithalten könnte. Die Folge wären veraltete Sicherheitsvorschriften, die letzten Endes wirkungslos wären. Betreiber Kritischer Infrastrukturen können Vorschläge für branchenspezifische Sicherheitsstandards einreichen. Das bietet die Möglichkeit, Standards zu schaffen, die wirklich der Arbeitsrealität entspringen.

 

       Überprüfung

Alle zwei Jahre werden die getroffenen Sicherheitsvorkehrungen evaluiert: Betreiber Kritischer Infrastrukturen müssen dem Bundesamt für Sicherheit in der Informationstechnik nachweisen, dass sie den Verpflichtungen des IT-Sicherheitsgesetzes wirklich nachgehen. Das kann in Form von Audits, Sicherheitsprüfungen oder Zertifizierungen erfolgen. Wurden Sicherheitsmängel festgestellt, sind diese ebenfalls zu nennen und auf Verlangen des BSI zu beseitigen.

 

       Meldepflicht

Das BSI wird im Zuge des IT-Sicherheitsgesetzes zur zentralen Melde- und Aufsichtsstelle für IT-Sicherheitsvorfälle und es besteht eine Meldepflicht. Das BSI möchte auf diesem Weg mehr über aktuelle IT-Schwachstellen erfahren und anderen Unternehmen sowie Behörden mögliche Sicherheitsrisiken und Lösungen zur Verfügung stellen. Dadurch sollen Sicherheitslücken effizienter gefüllt und Unternehmen schneller über mögliche Bedrohungen informiert werden. KRITIS-Betreiber sollen so den Schutz Ihrer IT optimieren können. Auch Hard- und Software-Hersteller werden in die Pflicht genommen. Sie sind verpflichtet dabei zu helfen, Sicherheitslücken zu erkennen und zu beseitigen.

 

Was bedeutet das IT-Sicherheitsgesetz für Unternehmen?

Das IT-Sicherheitsgesetz beinhaltet eine Reihe von Vorgaben, um deren Umsetzung sich Unternehmen kümmern sollten. Bei Verstößen drohen Bußgelder in Höhe von bis zu 100.000 Euro.

 

1.    “Stand der Technik” umsetzen

 

Unternehmen sind auf der sicheren Seite, wenn sie sich an den aktuellsten Sicherheitsstandards orientieren. Im eigenen Interesse empfiehlt es sich, in regelmäßigen Abständen die Sicherheitsarchitektur des Unternehmens kritisch zu hinterfragen und Vorkehrungen gegen Störungen zu treffen.

Im Rahmen des IT-Sicherheitsgesetzes müssen Unternehmen nachweisen, dass sie den “Stand der Technik” in Bezug auf die IT-Sicherheit einhalten, zum Beispiel durch Prüfungen oder Audits. Gibt es Sicherheitsmängel, kann das BSI deren Beseitigung verlangen und prüfen.

Durch die Verwendung von modernen Sicherheitstools wie DriveLock erfüllen Sie nicht nur die Anforderungen des IT-Sicherheitsgesetzes, sondern schützen Ihre Daten effizient vor Bedrohungen wie beispielsweise Ransomware-Angriffen. Wie DriveLock Sie vor solchen Angriffen schützen kann, erfahren Sie hier.

 

2   Branchenspezifische Sicherheitsstandards einführen: 

Es gibt keine klar definierten Vorgaben zum “Stand der Technik” in verschiedenen Branchen. Vielmehr erhalten Branchen und ihre Fachverbände die Chance, selbstständig branchenspezifische Standards (B3S) zu erarbeiten und vom BSI anerkennen zu lassen. Die Erarbeitung der branchenspezifischen Standards erfolgt in Branchenarbeitskreisen (BAK) des UP KRITIS, einer Kooperationsplattform zwischen Betreibern und Staat. Weitere Informationen dazu und eine Liste der bereits bestehenden Arbeitskreise finden Sie hier.

 

3.    Kontaktstelle einrichten:

Betreiber Kritischer Infrastrukturen müssen dem BSI laut IT-Sicherheitsgesetz eine Kontaktstelle nennen. Zum einen sollen über diese Stelle Meldungen über Störungen der eigenen IT-Systeme an das BSI erfolgen. Zum anderen erhalten Unternehmen so Warnungen und Informationen über mögliche Sicherheitslücken. Die Kontaktstelle muss sieben Tage die Woche 24 Stunden erreichbar sein. Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, können neben der Kontaktstelle eine gemeinsame übergeordnete Ansprechstelle benennen.

 

4.    IT-Störungen melden:

Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation (IKT) sowie Wasser und Ernährung sind verpflichtet, außergewöhnliche Störungen beim BSI nach einem standardisiertem Verfahren zu melden.

Um die Meldepflicht zu erfüllen und im Fall der Fälle schnell handeln zu können, sollte es klare Verhaltensrichtlinien für Sicherheitsvorfälle geben. Unternehmen sollten dabei sicherstellen, dass diese Richtlinien stets aktuell und bei Mitarbeitern bekannt sind. Kommen Unternehmen ihrer Meldepflicht nicht nach, weil beispielsweise ein Mitarbeiter die Informationskette nicht einhält, drohen Bußgelder. Die Meldung kann auch anonym erfolgen und dient dazu, kurzfristige Warn- und Alarmierungsmeldungen sowie Handlungsempfehlungen für Betroffene sowie andere Unternehmen und Behörden zu erstellen. Betreiber, die nicht unter die BSI-Kritisverordnung fallen, können Störungen freiwillig melden.

 

Welche IT-Störungen sind meldepflichtig?

Es wird zwischen gewöhnlichen und außergewöhnlichen IT-Störungen unterschieden. Gewöhnliche IT-Störungen können mit bestehenden Sicherheitsmaßnahmen (nach „Stand der Technik“) abgewehrt werden, ohne dass nennenswerte Probleme entstehen. Darunter fallen zum Beispiel Hardwareausfälle, Spam oder durch Virenschutz erkannte Schadsoftware. Gewöhnliche IT-Störungen müssen nicht gemeldet werden.

Außergewöhnliche IT-Störungen können nur mit erheblichem beziehungsweise deutlich erhöhtem Ressourcenaufwand abgewendet werden. Darunter fallen neue, bisher nicht veröffentlichte Sicherheitslücken, unbekannte Schadprogramme oder Spear-Phishing. Außergewöhnliche IT-Störungen sind meldepflichtig.

 

Das IT-Sicherheitsgesetz bedeutet auch: Vorausschauend Handeln

Viele Unternehmen scheuen Mehrkosten, um die geforderten Standards des IT-Sicherheitsgesetzes zu erfüllen. Tatsächlich geht der Bundesverband der Deutschen Industrie (BDI) von Kosten in Milliardenhöhe für Unternehmen aus. Allerdings sollten Unternehmen sich bewusst machen, dass es weder die Kosten für die IT-Sicherheitsarchitektur, noch die Bußgelder sind, die sie fürchten sollten. Denn eins ist sicher: Abgesehen vom Imageverlust, liegen die Kosten, die ein Cyberangriff nach sich ziehen kann, weitaus höher.

Wir unterstützen Sie gerne bei sämtlichen Fragen zum IT-Sicherheitsgesetz und der Umsetzung gemäß BSI-Richtlinien.

 

CenterTools für Innovation ausgezeichnet

DriveLock Managementkonsole mit Avira Antivirenschutz