Interview zum IT-Sicherheitsgesetz

Was KRITIS-Betreiber beachten und dem BSI melden müssen

| Redakteur: Stephan Augsten

Für Immo Eitel vom BISG hätte das IT-Sicherheitsgesetz durchaus alle Unternehmen betreffen dürfen, nicht nur KRITIS-Betreiber.
Für Immo Eitel vom BISG hätte das IT-Sicherheitsgesetz durchaus alle Unternehmen betreffen dürfen, nicht nur KRITIS-Betreiber. (Bild: Archiv)

Betreiber kritischer Infrastrukturen, kurz KRITIS, müssen ihre Netze besser schützen und Angriffe zwingend melden. So will es das IT-Sicherheitsgesetz. Doch für wen gilt das Gesetz genau und welche Vorfälle sind meldepflichtig? Immo Eitel, Fachbereichsleiter KRITIS beim Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG), weiß genaueres.

Security-Insider: Herr Eitel, von der Einführung des IT-Sicherheitsgesetzes sind insbesondere die Betreiber kritischer Infrastrukturen betroffen. Wer ist damit gemeint? Existiert für Unternehmen eine klare Abgrenzung zur Orientierung?

Immo Eitel: Über kritische Infrastrukturen verfügen Unternehmen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Deren Ausfall oder Beeinträchtigung würde zu nachhaltigen Versorgungsengpässen führen oder erhebliche Störungen der öffentlichen Sicherheit nach sich ziehen.

Mit dem geplanten Gesetz sollen die Betreiber verpflichtet werden, ihre Netze besser vor Hacker-Angriffen oder (mutwilliger) Beschädigung zu schützen. Dazu werden Mindeststandards für die IT-Sicherheit festgelegt und ein Meldewesen für IT-Sicherheitsvorfälle in Zusammenarbeit mit dem BSI etabliert.

Telekommunikationsanbieter und Betreiber von Kernkraftwerken müssen bereits seit Inkrafttreten am 25. Juli 2015 erhebliche IT-Sicherheitsvorfälle melden. Für alle anderen Bereiche hingegen, also Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, soll eine zusätzliche Rechtsverordnung Klarheit bringen.

Da diese derzeit aber noch in Erarbeitung ist, ist eine Konkretisierung in Bezug auf Unternehmen und Auflagen derzeit noch nicht möglich. Es wird davon ausgegangen, dass insgesamt etwa 2.000 Unternehmen in Deutschland durch das neue IT-Sicherheitsgesetz betroffen sind. Aber wer das genau sein wird, ist noch offen.

Die Rechtsvorschrift wird definieren, wer zu den 2.000 Betroffenen zählt. Da das Gesetz aber bereits in Kraft ist, sollte sich jedes Unternehmen schnellstmöglich um ein umfangreiches IT-Sicherheitsmanagement kümmern – auch diejenigen, die das Thema bisher eher belächelt haben. Die Kommunikation zwischen Unternehmen und BSI sollte dann von einem IT-Sicherheitsbeauftragten übernommen werden.

Security-Insider: Im neuen Gesetz heißt es, dass KRITIS-Betreiber künftig einen Mindeststandard an IT-Sicherheit einhalten und zudem erhebliche IT-Sicherheitsvorfälle an das BSI melden müssen. Ist dieser Mindeststandard definiert bzw. was genau ist darunter zu verstehen?

Eitel: Nahezu sämtliche Lebensbereiche sind mittlerweile von IT-Infrastrukturen durchdrungen und von ihnen abhängig. Dadurch ist die gesellschaftliche ‚Verwundbarkeit‘ in den vergangenen Jahren rapide angestiegen. Erhebliche Schäden können insbesondere durch Naturereignisse, technisches und/oder menschliches Versagen, vorsätzliche Handlungen mit terroristischem oder sonstigem kriminellem Hintergrund oder auch durch Kriege hervorgerufen werden.

Für Betreiber kritischer Infrastrukturen bedeutet das, Risiken im Vorfeld von Ereignissen so weit wie möglich zu erfassen und sich auf unvermeidbare Krisenfälle bestmöglich vorzubereiten. Die Vorgabe für KRITIS-Unternehmen soll und muss hier sein, ein effizientes IT-Sicherheitsmanagement einzuführen und eine Schnittstelle zum BSI zu etablieren.

Treten Sicherheitsvorfälle ein, so ist dies dem BSI mitzuteilen, umgekehrt sammelt das BSI diese Meldungen und stellt diese, eventuell mit einer brauchbaren Lösung, allen Unternehmen zur Verfügung. Letztlich bildet sich daraus ein engmaschiges Sicherheitsnetz, basierend auf dem aktuellen Stand der Technik.

Da das IT-Sicherheitsgesetz nach vier Jahren evaluiert werden soll, sollte sich bis dahin eine Art Standard entwickelt haben. Konkrete Maßgaben gibt es hier jedoch noch nicht, die Unternehmen sollten sich möglichst am Stand der Technik orientieren und eigene fachspezifische Sicherheitskataloge erarbeiten.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben
Sehr geehrter Hans B, danke für Ihre konstruktive Kritik. Zur Sensibilisierung der Bevölkerung...  lesen
posted am 26.01.2016 um 21:33 von Unregistriert

Der hier als Beispiel genannte Bundestagstrojaner, bei dem das BSI nicht mehr für die Sicherheit...  lesen
posted am 23.01.2016 um 09:21 von Unregistriert


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43809440 / Compliance)