Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

| Autor / Redakteur: Matthias Kunisch / Peter Schmitz

Die Nachweispflicht ist zentraler Aspekt des IT-Sicherheitsgesetzes für KRITIS-Betreiber. Ein professionelles Dokumentenmanagement-System (DMS) macht hier manches leichter.
Die Nachweispflicht ist zentraler Aspekt des IT-Sicherheitsgesetzes für KRITIS-Betreiber. Ein professionelles Dokumentenmanagement-System (DMS) macht hier manches leichter. (Bild: Pixabay / CC0)

Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen.

Mit der 2014 verabschiedeten Digitalen Agenda will die deutsche Bundesregierung den digitalen Wandel aktiv begleiten und mitgestalten, um die Zukunftsfähigkeit des Landes zu sichern. Ein wichtiger Baustein ist das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG), das die gesetzlich verbindliche Etablierung eines Mindestniveaus an IT-Sicherheit zum Gegenstand hat. Davon betroffen sind Unternehmen aus den Sektoren Energie, Wasser, Informationstechnik, Telekommunikation, Ernährung, Finanzen, Transport, Verkehr und Gesundheit, die kritische Infrastrukturen, sogenannte KRITIS, betreiben.

Die Umsetzung des IT-Sicherheitsgesetzes erfolgt in zwei Phasen: Zunächst sind nur KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen, die anderen ziehen später nach. Ab Mai 2016 hatten die Betroffenen sechs Monate Zeit, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle für Vorfallsmeldungen zu nennen. Zudem müssen sie ihre IT bis Mai 2018 nach dem Stand der Technik absichern, etwa nach nationalen oder internationalen DIN- oder ISO-Standards. Schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen – sowohl für Verbraucher als auch für Wirtschaft und Staat.

Unternehmen und das IT-Sicherheitsgesetz

Verantwortlichkeit für IT-Sicherheit

Unternehmen und das IT-Sicherheitsgesetz

27.09.17 - Cyberattacken und Hackerangriffe gehören mittlerweile zum Alltag vieler Unternehmen. Sind durch solche Angriffe aber Telekommunikationsunternehmen oder Betreiber von kritischen Infrastrukturen betroffen, bekommt eine einfache Cyber-Attacke schnell eine große Dimension. Das IT-Sicherheitsgesetz soll Transparenz bei Fällen von Cyberkriminalität schaffen und dabei helfen die IT-Sicherheit bei Unternehmen und Verwaltung zu verbessern. lesen

Einführung eines Informations-Sicherheits-Management-Systems

Einhergehend mit dem Gesetz zur Steigerung der Sicherheit informationstechnischer Systeme sind neue Pflichten zur Erhöhung von Abwehrmaßnahmen sowie Nachweis- und Meldepflichten. Zudem müssen KRITIS-Betreiber als Mindeststandard ein Informations-Sicherheits-Management-System (ISMS) einführen, mit dem sie Sicherheitsrisiken und IT-Störungen überwachen, bewerten, steuern und melden können. Hierfür sind:

  • ein Nutzstrukturplan zu erstellen, der die schutzbedürftigen Komponenten des eigenen Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und Schnittstellen umfasst.
  • eine Schutzbedarfsanalyse durchzuführen, die die Ziele der Informationssicherheit berücksichtigt (Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit).
  • ein IT-Sicherheitsbeauftragter zu bestellen, der die Koordination, Verwaltung und Kommunikation der Informationssicherheit übernimmt.
  • ein Zertifikat zu erwerben, das die Konformität des ISMS mit der Norm ISO/IEC 27001 bestätigt.

Transparente Dokumentation der Maßnahmen

Mit der bloßen Einführung eines ISMS ist es aber nicht getan. Ebenso wichtig ist die Dokumentation der vorgenommenen sicherheitsrelevanten Anpassungen. Ohne eine transparente Dokumentation laufen Unternehmen Gefahr, gegen Compliance-Richtlinien zu verstoßen. Sie müssen jederzeit nachweisen können, dass sie sich mit den erforderlichen Maßnahmen zum Management von IT-Risiken auseinandergesetzt und dass sie die verbindlichen Vorgaben des IT-Sicherheitskatalogs umgesetzt haben. Auch für den Fall eines Cyberangriffs ist sauber zu dokumentieren, dass die betroffenen IT-Systeme gemäß IT-Sicherheitsgesetz aufgestellt sowie geschützt sind und dass das BSI über den Vorfall korrekt informiert wurde. Sind Betreiber von KRITIS dazu nicht in der Lage, drohen Bußgelder in Höhe von bis zu 100.000 Euro. Am einfachsten kommen Unternehmen der Dokumentationspflicht mit einem professionellen Dokumentenmanagement-System (DMS) nach. Es leistet insbesondere in drei Bereichen, die unmittelbar mit der Umsetzung der Vorgaben des IT-Sicherheitsgesetzes verknüpft sind, wertvolle Unterstützung: bei der Erstellung, Verbreitung und Archivierung von Dokumenten.

Dokumente direkt im DMS erstellen

Allein bei der Einführung des ISMS und bei der Erarbeitung des Netzstrukturplans entstehen Unmengen verschiedenster Dokumente: Anforderungsanalysen, Lastenhefte, Zeitpläne, Protokolle, Technologie-, Prozess- und Schnittstellenbeschreibungen etc. Ohne ein DMS würden Unternehmen die benötigten Dokumente am PC erstellen, bearbeiten und finalisieren, ausdrucken, ggf. unterschreiben lassen, versenden und/oder in einer Akte ablegen bzw. einscannen und digital ablegen – ein höchst zeitraubendes und zugleich fehleranfälliges Vorgehen. Wesentlich effizienter ist eine integrierte Dokumentenerstellung: Mitarbeiter erstellen die benötigten Dokumente direkt im DMS, etwa innerhalb einer Vorgangsbeschreibung, speichern sie an selbiger Stelle und versenden sie bei Bedarf direkt aus dem System heraus per E-Mail an einen Adressaten wie das BSI oder die Zertifizierungsstelle. Weiterhin sichert ein DMS die Aktualität von Dokumenten, indem sich Wiedervorlagen zur Überprüfung individuell einstellen lassen. So müssen KRITIS-Betreiber nicht nur ihre IT-Systeme in definierten Zeiteinheiten überprüfen, sondern auch die Menschen, die damit arbeiten. Insbesondere international tätige Unternehmen müssen die persönlichen Daten ihrer Beschäftigten regelmäßig gegen die EU-Anti-Terror-Verordnungen oder Sanktionslisten (EU-Verordnungen) abgleichen. Auch hier sorgt ein DMS für die nötige Transparenz: Es zeigt auf, welcher Mitarbeiter wann kontrolliert wurde und wo die entsprechenden Dokumente hinterlegt sind.

Compliance-Richtlinien erfüllen

Selbstverständlich ist insbesondere bei gesetzlichen Vorgaben, wie sie das IT-Sicherheitsgesetz macht, auf Compliance unbedingt zu achten. Um auf der sicheren Seite zu sein, müssen KRITIS-Betreiber gewährleisten können, dass nicht nur Entwürfe und nachträgliche Veränderungen von Dokumenten vollständig dokumentiert und jederzeit nachvollziehbar sind, sondern auch die Mitarbeiter, die die Dokumente erstellt bzw. verändert haben. Denn üblicherweise sind an der Erstellung von Dokumenten viele Mitarbeiter aus verschiedenen Unternehmensbereichen beteiligt. Ein DMS speichert sämtliche Versionen eines Dokuments samt Metadaten in der Historie – von der Bearbeitungszeit über den ausführenden Mitarbeiter bis hin zu den eigentlichen Änderungen.

Datenschutzbestimmungen einhalten

Beinhaltet ein Dokument persönliche Daten, sind die geltenden Datenschutzbestimmungen einzuhalten: Der Betroffene muss der Erhebung und Verarbeitung seiner personenbezogenen Daten zustimmen – zumal Unternehmen jene Daten nur zweckgebunden verarbeiten dürfen. Ein DMS bietet rechtskonforme Dokumentenvorlagen und erlaubt die recht- und zweckmäßige Verarbeitung persönlicher Daten, da sich bestimmte Felder voreinstellen lassen. Darüber hinaus dürfen Dokumente nicht allen Mitarbeitern zugänglich sein, sondern nur jenen, die sie benötigen, um eine bestimmte Aufgabe zu erfüllen. Über ein Berechtigungssystem lässt sich festlegen, welche Personen oder Personengruppen auf welche Dokumente wie lange zugreifen dürfen – von bloßen Leserechten bis hin zu Bearbeitungs- oder Freigabebefugnissen.

Meldepflicht: Dokumente aus dem DMS heraus verbreiten

Ein wesentlicher Vorteil eines DMS besteht darin, dass Unternehmen Dokumente samt relevanten Unterlagen direkt aus dem System heraus per E-Mail verschicken können. Insbesondere im Falle von Cyberattacken oder IT-Störungen ist das fundamental wichtig. Damit der integrierte E-Mail-Versand auch während eines Angriffs funktioniert, sollten KRITIS-Betreiber das DMS in einer geschützten Umgebung offline betreiben: in ihrem eigenen Rechenzentrum und Netzwerk. Nur dann können sie Sanktionen entgehen und ihrer Pflicht nachkommen, erhebliche Störungen ihrer IT zu melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Adressat der Meldung ist das BSI als zentrale Melde- und Aufsichtsstelle. Das DMS sorgt für einen sicheren Workflow, indem der verantwortliche Mitarbeiter per Mausklick alle Informationen zur Störung oder zum Angriff an das BSI übermitteln kann. Die aus der Meldung gewonnenen Erkenntnisse stellt das BSI sowohl den übrigen KRITIS-Betreibern als auch den zuständigen (Aufsichts-)Behörden zur Verfügung, sodass sie ihre IT-Systeme adäquat schützen bzw. entsprechende Maßnahmen einleiten können. Auch bei der Erfüllung der Meldepflicht ist Compliance sehr wichtig: Über das DMS können Unternehmen jederzeit transparent nachweisen, dass sie sich korrekt verhalten und welche Maßnahmen sie eingeleitet haben, um zukünftigen Störungen oder Cyberattacken vorzubeugen.

DMS unterstützt (Re-)Zertifizierung

Mit dem Erwerb eines Zertifikats können KRITIS-Betreiber die Wirksamkeit und Normenkonformität ihrer IT-Systeme nachweisen und dokumentieren, dass sie die Vorgaben des IT-Sicherheitskatalogs umgesetzt und eingehalten haben. Die Zertifizierung ist zwei Jahre gültig und erfordert eine Re-Zertifizierung durch eine akkreditierte Zertifizierungsstelle. Um diesen Termin nicht zu versäumen, verfügt ein DMS über eine zuverlässige Fristenkontrolle: Zu einem definierten Zeitpunkt vor dem Ablaufdatum erhält der zuständige Mitarbeiter eine Erinnerung per E-Mail, sodass er die Re-Zertifizierung in die Wege leiten kann. Lässt er die Frist verstreichen, wird sie automatisch an den Nebenverantwortlichen eskaliert. Auch bei der eigentlichen Zertifizierung leistet ein DMS praktische Unterstützung. Der Verantwortliche erstellt definierte Aufgabenlisten und weist sie den entsprechenden Kollegen zu. Nach Erfüllung der Aufgabe markieren sie die Tasks als „erledigt“ und speichern sie samt abgearbeiteter Aufgabenliste in der Dokumentation. So ist sichergestellt, dass alle für die Re-Zertifizierung benötigten Dokumente rechtzeitig vorbereitet und zusammengestellt sind.

Nachweispflicht: Dokumente langfristig archivieren

Die Nachweispflicht ist zentraler Aspekt des IT-Sicherheitsgesetzes. KRITIS-Betreiber müssen mittels Zertifizierung gegenüber dem BSI alle zwei Jahre nachweisen, dass ihre IT-Systeme dem Stand der Technik entsprechen. Ein DMS bietet umfassende Möglichkeit zur Langzeitarchivierung von Dokumenten aller Art: von Netzstrukturplan und Schutzbedarfsanalyse über Datenschutzhandbücher und Informationen zum IT-Sicherheitsbeauftragten bis hin zu Zertifikaten, Qualitätssicherungsnachweisen und Vorfallsmeldungen. Da Anwender die Dokumente mit aussagekräftigen Tags und Metadaten versehen können, sind sie später schnell und unkompliziert auffindbar. Ein Maximum an Sicherheit gewähren bedarfsgerecht wählbare Sicherheitsstufen für die Dateiablage. Auch bei der Archivierung ist auf den Schutz personenbezogener Daten zu achten, etwa mittels Pseudonymisierung und Verschlüsselung. Obwohl Unternehmen personenbezogene Daten prinzipiell nur so lange speichern dürfen, wie für die Erfüllung des verbundenen Zwecks nötig ist, gibt es Ausnahmen, wie etwa Archivierungszwecke. In einem DMS lassen sich automatisierte Workflows zur Prüfung der jeweiligen Zweckbindung anlegen. Sind die nötigen Datenschutz-Anforderungen erfüllt, dient die Langzeitarchivierung als Grundlage für die Erstellung detaillierter Analysen und aussagekräftiger Auswertungen: Wie viele Angriffe gab es? Wann ist eine Attacke geschehen? Welches Ausmaß hatte eine Störung? Etc. Daraus können KRITIS-Betreiber wichtige Schlüsse für den zukünftigen Schutz ihrer IT ziehen – und sind zugleich rechtlich auf der sicheren Seite.

Über den Autor: Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer von Forcont Business Technology, ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus, und ist seit 1976 in der IT-Branche tätig. Matthias Kunisch ist zudem Mitglied des Vorstandes des Cloud-EcoSystem e.V.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45150350 / Compliance und Datenschutz )