Ihr Partner für IT-Sicherheit und Datenschutz
13th Jul 2015 | by: Matthias Mühlhaus

Facade of the Reichstag in Berlin, Germany

Das IT-Sicherheitsgesetz und alles, was Sie darüber wissen sollten.

Am 12. Juni 2015 hat der Deutsche Bundestag das neue IT-Sicherheits­gesetz beschlossen.

Es betrifft Telekommunikations­anbieter, Banken, Energieversorger und weitere Unternehmen mit „Kritischer Infrastruktur“ und fordert adäquate Sicherheitsstandards sowie eine Meldung von IT-Sicherheits­vorfällen an das Bundesamt für Sicherheit in der Informationstechnik bzw. die Bundesnetzagentur.

 

In diesem Blogbeitrag verraten wir Ihnen, was Sie über das umstrittene „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ wissen sollten.

 

Was ist das IT-Sicherheitsgesetz 2015?

„Das IT-Sicherheitsgesetz ist ein Baustein der Digitalen Agenda der Bundesregierung“. Es ist ein Mantelgesetz, das durch verschiedene Änderungen in Einzelgesetzen sowie neuen Rechtsverordnungen Schritt für Schritt präzisiert werden muss.

Welches Ziel verfolgt das IT-Sicherheitsgesetz?

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ hat kurz gesagt das Ziel, die IT-Sicherheit und den Datenschutz in Deutschland zu verbessern. Es soll Gefahren durch Cyber-Attacken vorbeugen und einschränken.

Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Ziel des Gesetzes sind die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA).

Wen betrifft das neue IT-Sicherheitsgesetz?

Das Gesetz betrifft Wirtschaftsbereiche, bei denen Cyberattacken das Gemeinwohl beeinträchtigen könnten. Betroffen sind Unternehmen mit „Kritischer Infrastruktur“. Das IT-Sicherheitsgesetz definiert die „Kritischen Infrastrukturen“ folgendermaßen:

Definition „Kritische Infrastrukturen“  (KRITIS)

Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Der in der „Nationalen Strategie zum Schutz Kritischer Infrastrukturen“ von 2009 genannte Bereich „Medien und Kultur“ wird im Gesetzesentwurf nicht genannt. Das Gesetz gilt auf Grundlage der Verhältnismäßigkeit nicht für Kleinstunternehmen. Näheres wird über Verordnungen bestimmt.

Um was geht es im IT-Sicherheitsgesetz?
  • Einführung von Mindeststandards zum besseren Schutz vor Angriffen von Hackern/ ein „Mindestniveau an IT-Sicherheit“ soll erreicht werden. 
  • Meldung von IT-Sicherheitsvorfällen (z.B. Cyberattacken) an Bundesamt für die Sicherheit in der Informationstechnik (BSI). Das Bundesamt hat die Aufgabe mithilfe der Meldedaten andere gefährdete Unternehmen zu informieren. Die Meldung bleibt anonym, es sei denn, es sind bereits wiederholt erhebliche Störungen in der Kritischen Infrastruktur des betroffenen Unternehmens aufgetreten
  • Meldungen von Störfällen (z.B. Botnetz-Übernahmen) an die betroffenen Kunden.
  • Telekommunikationsdienstanbieter haben IT-Sicherheitsvorfälle an an die Bundesnetzagentur zu melden
  • Betreiben einer Kontaktstelle bzw. einer Verantwortlichen Stelle durch z.B. Bestellung eines IT-Sicherheitsbeauftragten.
  • Durchführung von IT-Sicherheitsaudits und Überprüfungen von IT-Sicherheitsmaßnahmen.
  • Überprüfung des IT-Sicherheitskonzeptes von Telekommunikationsanbietern alle 2 Jahre durch Bundesnetzagentur.
  • Sensibilisierung der Öffentlichkeit.
Wie lange haben Unternehmen Zeit, die Vorgaben zu erfüllen?

Betroffenen Unternehmen wird zur notwendigen Einrichtung von organisatorischen und technischen Maßnahmen eine Frist von 2 Jahren eingeräumt. Nachweise der Mindeststandards müssen alle 2 Jahre an das BSI erbracht werden. Das kann im Rahmen von Zertifizierungen und Sicherheitsaudits erfolgen.

Welche Konsequenzen drohen bei Nichteinhaltung?

Bei Nichteinhaltung kann ein Bußgeld von bis zu 100.000 Euro festgesetzt werden.

Welche Kritik am neuen IT-Sicherheitsgesetz gibt es?
  • Kritiker sehen die Verabschiedung des IT-Sicherheitsgesetzes 2015 vor dem Hintergrund des jungsten Hackerangriffs auf den Bundestag und die NSA-Abhöraffäre höchst spöttisch. Der Wirtschaftspolitische Sprecher der Grünen im Bundestag Dieter Janecek räumt ein: „Wir stehen ganz schön peinlich da, wenn wir heute über ein IT-Sicherheitsgesetz beraten, wir das aber selber nicht hinkriegen.“
  • In der Öffentlichkeit wird außerdem die „Vorratsdatenspeicherung durch die Hintertür“ abgelehnt. Provider dürfen laut Gesetz Verbindungsdaten zur Auswertung von Sicherheitsvorfällen bis zu 6 Monate speichern.
  • Die Wirtschaft bemängelt vor allem die hohen Kosten des neuen Gesetzes. In der Presse wird meist auf die Studie des Digitalverbands Bitkom verwiesen. In dieser schätzt man den Aufwand der deutschen Wirtschaft allein für die aufgrund der Meldepflicht entstehenden Bürokratiekosten auf eine Höhe von 1,1 Milliarden Euro. Da die Bundesregierung von deutlich weniger (2.000 anstatt rund 18.500) meldepflichtigen Unternehmen ausgeht, liegt ihre Schätzung bei 9,2 Millionen. Dazu kommen unter anderem die Kosten für die technische Umsetzung der neu eingeführten Mindeststandards.
  • Ein wesentlicher Kritikpunkt von allen Seiten ist die Ungenauigkeit des Gesetzes. Die vielen offenen Fragen spiegeln die Unsicherheit der Betroffenen. Wann muss man einen IT-Sicherheitsvorfall melden? Ab welcher Schadenshöhe? Welche Unternehmen führen überhaupt eine „Kritische Infrastruktur“?
  • Vielen geht das Gesetz nicht weit genug.
Welche Empfehlungen geben wir an unsere Kunden?

Wir empfehlen betroffenen Unternehmen die Integration des Meldeverfahrens in das Risikomanagement beziehungsweise das IT-Sicherheitsmanagementsystem (ISMS). Legen Sie einen Prozess fest, der bei einem IT-Sicherheitsvorfall eine geschützte Meldung an das BSI ermöglicht. Treffen Sie bereits jetzt die Vorbereitung darüber, was in welcher Form gemeldet wird. Bestimmen Sie eine beziehungsweise mehrere verantwortliche Personen (IT-Sicherheitsbeauftragte/r). Wichtig ist eine unternehmensinterne klare Definition des Begriffs IT-Sicherheitsvorfall in Abgrenzung zu einem IT-Sicherheitsereignis. Überlegen Sie sich außerdem, über welchen Kommunikationsweg Sie Ihre Kunden am einfachsten über einen Störfall informieren können. Bereiten Sie idealerweise schon vorab einen E-Mailtext vor. Ihre Kunden werden Ihre professionelle Reaktion zu schätzen wissen.

Welche Unterstützung in Bezug auf das IT-Sicherheitsgesetz gibt es?

Die Einführung eines Prozesses zur Meldung eines IT-Sicherheitsvorfalls sowie die Erfüllung von Mindeststandards gehört zur organisatorischen IT-Sicherheit, auf die wir uns spezialisiert haben. Gerne helfen wir Ihnen bei der kosteneffizienten Umsetzung der Maßnahmen aus dem neuen Gesetz. Wir erstellen für Sie ein IT-Sicherheitskonzept und unterstützen Sie bei Bedarf bei der Einführung oder Auditierung Ihres Informationsmanagementsystems (ISMS). Gerne stehen wir Ihnen als externer IT-Sicherheitsbeauftragte zur Verfügung. Informieren Sie sich gerne im Detail über unsere Leistungen oder rufen Sie uns direkt an: 0921 / 230 599 35.

Welche nächsten Schritte sind sinnvoll?

Sie kennen uns noch nicht persönlich? Für eine Bestandsaufnahme empfehlen wir Ihnen einen IT-Sicherheitscheck. Nach dieser kostengünstigen Erstüberprüfung beraten wir Sie individuell, stellen Ihnen priorisierte Maßnahmen zum Schutz Ihres Unternehmens oder Ihrer Organisation vor. Selbstverständlich stehen wir Ihnen auch bei der Umsetzung zur Seite.

Fazit zum IT-Sicherheitsgesetz

Wird die IT-Sicherheit in Deutschland durch das Gesetz besser? Etwas. Positiv ist der Ansatz zur Erfüllung von Mindeststandards. Dies wird in der Praxis auf die Einführung eines Informationsmanagementsystems (ISMS) hinauslaufen. Ein ISMS empfehlen wir nicht nur Unternehmen mit „Kritischer Infrastruktur“. Zudem gewinnt das Thema „IT-Sicherheit“ im Unternehmen an Bedeutung.

 

Es gibt sicherlich Branchen, die nun vor kostenintensiven technischen Herausforderungen gestellt werden. Das sind etwa Telekommuniaktionsunternehmen, die differenziert Kundendaten zur Auswertung von Störfällen bereit halten sollen. Die meisten Unternehmen können jedoch mit einfachen organisatorischen Maßnahmen – wie der Einführung eines Meldeprozesses – den  bürokratischen Aufwand und die damit verbundenen Kosten durch die Meldepflicht in Grenzen halten. Die Erfüllung von Mindeststandards und der Nachweis durch ein Auditsystem – etwa im Rahmen von ISO 27001 – gehören ohnehin zu einer Basissicherheit.

 

In Bezug auf die Erfüllung der Mindeststandards sollten Sie bei aller Aufregung um das IT-Sicherheitsgesetz Folgendes nicht vergessen: Unternehmen treffen IT-Sicherheitsmaßnahmen zu allererst aus Eigennutz – in Zeiten der Digitalisierung sind die meisten Unternehmen schlichtweg von einer einwandfrei funktionierenden IT-Infrastruktur abhängig. Gleichzeitig sind IT-Sicherheitsmaßnahmen im Sinne der Kundenorientierung durchzuführen. Unternehmen mit „Kritischer Infrastruktur“ nehmen darüber hinaus durch eine entsprechende Absicherung ihrer Systeme ihre Verantwortung gegenüber der Gesellschaft wahr. IT-Sicherheit im Unternehmen ist erst nachrangig durch Vorgaben des Gesetzgebers begründet.

 

Quellen: Hier finden Sie den Gesetzesentwurf des IT-Sicherheitsgesetzes.