Meldepflicht bei IT-Sicherheitsvorfällen

KRITIS in öffentlichen Verwaltungen

| Autor / Redakteur: Lars Göbel* / Regina Willmeroth

Öffentliche Verwaltungen und Einrichtungen sind dazu aufgefordert, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten.
Öffentliche Verwaltungen und Einrichtungen sind dazu aufgefordert, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten. (© NicoElNino - Fotolia.com)

Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es trägt der ­Tatsache Rechnung, dass die zunehmende Digitalisierung und Vernetzung auf der einen Seite große Wachstums- und Entwicklungspotenziale mit sich bringen, auf der anderen Seite jedoch die Verwundbarkeit von Kritischen Infrastrukturen (KRITIS) erhöhen.

Die deutsche Legislative hat quasi mit einem Federstrich dafür gesorgt, dass Unternehmen und Organisationen unterschiedlichster Größe und aus den verschiedensten Branchen, hierzu zählt auch die Verwaltung, ihre komplette Strategie zur Abwehr von Cyberangriffen und zur Gewährleistung von Ausfällen anpassen, wenn nicht gar neu denken müssen. Organisationen, deren Leistung für das Allgemeinwohl und den Fortbestand der Wirtschaft und Verwaltung in Deutschland unabdingbar ist, bekommen mit dem IT-Sicherheitsgesetz Auflagen, ihre IT-Sicherheit und Ausfallsicherheit nach dem aktuellen Stand der Technik auszurichten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die überwachende Behörde, die diese in der Vergangenheit unter Umständen als „Nice to Have“-eingestufte Fragestellungen konsequent überwacht. So besteht eine Meldeverpflichtung für betroffene Organisationen bei IT-Sicherheitsvorfällen und auch die mangelhafte oder nicht erfolgte Umsetzung der technischen Vorgaben ist mit Geldstrafen belegt.

Was jetzt zu tun ist

Was die von KRITIS betroffenen Organisationen konkret tun müssen, ist bislang noch nicht im Detail geklärt. Fest steht, dass gravierende IT-Sicherheitsvorfälle dem BSI gemeldet werden müssen und dass ein Ansprechpartner für IT-Sicherheitsfragen ernannt werden muss. Zwei sehr entscheidende Aspekte des IT-Sicherheitsgesetzes sind leider immer noch sehr schwammig ausgelegt.

Zum einen geht es um die Frage, welche Teile der eigenen IT-Infrastruktur konkret kritisch einzustufen sind und wie der geforderte Stand der Technik in Bezug auf IT-Sicherheit und Ausfallsicherheit erlangt werden kann. Hierzu geben weder die Vorschriften noch die Verordnung oder auch das Gesetz Auskunft.

Kritisch oder nicht?

Als ersten Schritt muss die von KRITIS betroffene Verwaltungseinheit für sich identifizieren, welche ihrer IT-Systeme von zentraler Bedeutung und Kritikalität für die Erbringung ihrer Kernleistungen sind und ob sie im Sinne des Gesetzes dann als kritisch einzustufen sind. IT-Verantwortliche müssen an dieser Stelle die teil­weise unübersichtliche IT nach ­Kritikalität einstufen und gleichzeitig gegebenenfalls auch Wechselwirkungen zwischen unterschiedlichen Systemen mitberücksichtigen.

Hier geht es darum, sich einen Überblick zu verschaffen. Die Etablierung eines funktionsfähigen Informationsicherheits-Managementsystems nach ISO 27001 ist hier der richtige Schritt. Im Allgemeinen bietet ISO 27001 die optimale Grundlage für gesetzeskonformes Handeln in diesem Kontext und ist der Goldstandard für alle in diesem Zusammenhang genutzten externen Services. In einer zweiten Runde sollte dann der vor einigen Jahren vom BSI erstellte Beschaffungsleitfaden für die Öffentliche Verwaltung studiert werden.

Schutzklassen

Das BSI empfiehlt im Rahmen dieses Dokuments, die IT-Infrastruktur und die genutzten Systeme in unterschiedliche Schutzklassen einzuordnen. Je höher die definierte Schutzklasse ist, desto höher ist auch der zu erwartende Schaden, wenn das System letztendlich ausfällt. An dieser Stelle muss der Verantwortliche auch einschätzen, wie hoch generell das Risiko eines Angriffs ist. In dem Moment, in dem sowohl die Schutzklasse als auch das Angriffsrisiko als hoch klassifiziert worden ist, muss die Qualitätsklasse der eingesetzten Technologie entsprechend ebenfalls hoch sein.

Stand der Technik

Wenn es in Gesetzen und Verordnungen um technologische Inhalte geht, dann wird sehr oft mit schwammigen Formulierungen wie „nach dem allgemeinen Stand der Technik“ gearbeitet. Dieser wenig eindeutige Begriff beschreibt einen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der es ermöglicht, die gesetzlichen Vorgaben in der Praxis zu erfüllen. Oder juristisch gesprochen: „Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“

Wer sich dies einmal auf der Zunge zergehen lässt, der erkennt, dass die Anforderungen an IT-Sicherheit und Ausfallsicherheit von Infra­strukturen grundsätzlich hoch angelegt werden. Bleibt trotzdem immer noch die Frage zu klären, wie der allgemeine Stand der Technik für den Einzelfall erreicht und letztlich auch dokumentiert nachgewiesen werden kann. Auch das BSI gibt zu diesem Sachverhalt ­wenig Auskünfte.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44673283 / Sicherheitsvorfälle)