Interview zum IT-Sicherheitsgesetz Was KRITIS-Betreiber beachten und dem BSI melden müssen

Redakteur: Stephan Augsten

Betreiber kritischer Infrastrukturen, kurz KRITIS, müssen ihre Netze besser schützen und Angriffe zwingend melden. So will es das IT-Sicherheitsgesetz. Doch für wen gilt das Gesetz genau und welche Vorfälle sind meldepflichtig? Immo Eitel, Fachbereichsleiter KRITIS beim Bundesfachverband der IT-Sachverständigen und -Gutachter (BISG), weiß genaueres.

Firma zum Thema

Für Immo Eitel vom BISG hätte das IT-Sicherheitsgesetz durchaus alle Unternehmen betreffen dürfen, nicht nur KRITIS-Betreiber.
Für Immo Eitel vom BISG hätte das IT-Sicherheitsgesetz durchaus alle Unternehmen betreffen dürfen, nicht nur KRITIS-Betreiber.
(Bild: Archiv)

Security-Insider: Herr Eitel, von der Einführung des IT-Sicherheitsgesetzes sind insbesondere die Betreiber kritischer Infrastrukturen betroffen. Wer ist damit gemeint? Existiert für Unternehmen eine klare Abgrenzung zur Orientierung?

Immo Eitel: Über kritische Infrastrukturen verfügen Unternehmen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Deren Ausfall oder Beeinträchtigung würde zu nachhaltigen Versorgungsengpässen führen oder erhebliche Störungen der öffentlichen Sicherheit nach sich ziehen.

Mit dem geplanten Gesetz sollen die Betreiber verpflichtet werden, ihre Netze besser vor Hacker-Angriffen oder (mutwilliger) Beschädigung zu schützen. Dazu werden Mindeststandards für die IT-Sicherheit festgelegt und ein Meldewesen für IT-Sicherheitsvorfälle in Zusammenarbeit mit dem BSI etabliert.

Telekommunikationsanbieter und Betreiber von Kernkraftwerken müssen bereits seit Inkrafttreten am 25. Juli 2015 erhebliche IT-Sicherheitsvorfälle melden. Für alle anderen Bereiche hingegen, also Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, soll eine zusätzliche Rechtsverordnung Klarheit bringen.

Da diese derzeit aber noch in Erarbeitung ist, ist eine Konkretisierung in Bezug auf Unternehmen und Auflagen derzeit noch nicht möglich. Es wird davon ausgegangen, dass insgesamt etwa 2.000 Unternehmen in Deutschland durch das neue IT-Sicherheitsgesetz betroffen sind. Aber wer das genau sein wird, ist noch offen.

Die Rechtsvorschrift wird definieren, wer zu den 2.000 Betroffenen zählt. Da das Gesetz aber bereits in Kraft ist, sollte sich jedes Unternehmen schnellstmöglich um ein umfangreiches IT-Sicherheitsmanagement kümmern – auch diejenigen, die das Thema bisher eher belächelt haben. Die Kommunikation zwischen Unternehmen und BSI sollte dann von einem IT-Sicherheitsbeauftragten übernommen werden.

Security-Insider: Im neuen Gesetz heißt es, dass KRITIS-Betreiber künftig einen Mindeststandard an IT-Sicherheit einhalten und zudem erhebliche IT-Sicherheitsvorfälle an das BSI melden müssen. Ist dieser Mindeststandard definiert bzw. was genau ist darunter zu verstehen?

Eitel: Nahezu sämtliche Lebensbereiche sind mittlerweile von IT-Infrastrukturen durchdrungen und von ihnen abhängig. Dadurch ist die gesellschaftliche ‚Verwundbarkeit‘ in den vergangenen Jahren rapide angestiegen. Erhebliche Schäden können insbesondere durch Naturereignisse, technisches und/oder menschliches Versagen, vorsätzliche Handlungen mit terroristischem oder sonstigem kriminellem Hintergrund oder auch durch Kriege hervorgerufen werden.

Für Betreiber kritischer Infrastrukturen bedeutet das, Risiken im Vorfeld von Ereignissen so weit wie möglich zu erfassen und sich auf unvermeidbare Krisenfälle bestmöglich vorzubereiten. Die Vorgabe für KRITIS-Unternehmen soll und muss hier sein, ein effizientes IT-Sicherheitsmanagement einzuführen und eine Schnittstelle zum BSI zu etablieren.

Treten Sicherheitsvorfälle ein, so ist dies dem BSI mitzuteilen, umgekehrt sammelt das BSI diese Meldungen und stellt diese, eventuell mit einer brauchbaren Lösung, allen Unternehmen zur Verfügung. Letztlich bildet sich daraus ein engmaschiges Sicherheitsnetz, basierend auf dem aktuellen Stand der Technik.

Da das IT-Sicherheitsgesetz nach vier Jahren evaluiert werden soll, sollte sich bis dahin eine Art Standard entwickelt haben. Konkrete Maßgaben gibt es hier jedoch noch nicht, die Unternehmen sollten sich möglichst am Stand der Technik orientieren und eigene fachspezifische Sicherheitskataloge erarbeiten.

Security-Insider: Wann gilt ein Vorfall als „erheblich“?

Eitel: Die jüngere Vergangenheit hat gezeigt, dass Infrastrukturen durchaus Schaden erleiden und Beeinträchtigungen kritischer Prozesse weitreichende soziale und ökonomische Folgen haben können. Die Anschläge in New York (2001), Madrid (2004) oder London (2005), aber auch Katastrophen wie die großen Hochwasser an Elbe und Oder, der Orkan „Kyrill“ (2007) oder die Kraftwerkskatastrophe in Fukushima (2011) machen deutlich, dass das private und das öffentliche Leben von kritischen Infrastrukturen abhängig ist.

In der IT wird unter einer Katastrophe der dauerhafte Ausfall der gesamten Informationstechnik verstanden. Die Auswirkungen haben einen gravierenden Einfluss auf die Funktionsfähigkeit des Unternehmens selbst und damit oftmals auch kritische Auswirkungen auf Kunden und/oder Subunternehmer.

Security-Insider: Greifen wir einmal den Sektor Gesundheitswesen heraus: Können Sie uns einen Einblick geben, welche speziellen Anforderungen Betreiber aus diesem Bereich zu erfüllen haben?

Eitel: Im Datenschutz gelten Gesundheitsdaten als besonders schutzwürdig, liegt es da nicht nahe, dass auch die Gesundheitsversorgung der Bevölkerung einem besonderen Schutz unterliegt? Von den zuvor genannten etwa 2.000 Unternehmen, die dem IT-Sicherheitsgesetz nachkommen müssen, kommt auch ein kleiner Teil aus dem Gesundheitssektor.

Aus meiner Sicht sollten eigentlich alle Kliniken zu den KRITIS-Unternehmen gezählt werden. Nehmen wir eine Klinik mit 600 Betten und mehreren Standorten: Dank vieler Investitionen existiert eine nahezu papierlose Klinik, alles läuft digital auf dem neuesten Stand der Technik ... Eine – mutwillige? – Beschädigung des Klinikinformationssystems führt dann nahezu zwangsläufig zu einem Zusammenbruch aller Prozesse.

Sicherlich kann das Personal die Notfallpatienten behandeln, aber es fehlen Details: Wer liegt in welchem Zimmer, ist woran erkrankt, braucht welche Medikamente und wieviel davon? Kann die OP durchgeführt werden, welche soll überhaupt gemacht werden und was muss an benötigtem Material abgerufen werden? Diese Liste ließe sich endlos weiterführen. Notfallpläne sind oft nicht vollumfänglich vorhanden, und eine Datensicherung wäre bei einem defekten Informationssystem nutzlos.

Hier gilt es, organisatorische Maßnahmen zu ergreifen, die wenigstens die grundlegenden Funktionen erhalten. Mit der Erfahrung aus vielen Jahren IT-, Organisations- und Qualitätsmanagement im Krankenhaus müssen aus meiner Sicht alle Kliniken verstärkt konzeptionelle Vorsorge betreiben und mehr in IT-Sicherheitslösungen investieren. So ist zum Beispiel auch die etwaige Abhängigkeit von anderen Unternehmen von immenser Bedeutung.

Ist beispielsweise der Netzwerkanbieter nach einer Cyberattacke vollständig korrumpiert, fällt die EDV an allen Standorten der Klinik aus. Wenn dann vielleicht die IT ebenfalls noch ausgelagert wurde, steht das Unternehmen still. Jeder IT-Mitarbeiter weiß um den Druck, der durch 24/7-Ansprüche auf ihm lastet; hier die gesetzliche Anforderung zur Umsetzung eines IT-Risikomanagements zu erfüllen, sollte eigentlich allen IT-Abteilungen entgegenkommen.

Security-Insider: Wie schnell müssen die Anforderungen umgesetzt werden? Wird den betroffenen Unternehmen eine Übergangszeit eingeräumt?

Eitel: Wie bereits erwähnt, müssen Betreiber von Kernkraftwerken und auch Telekommunikationsanbieter ab sofort erhebliche IT-Sicherheitsvorfälle melden. Die betroffenen Unternehmen sind vom BSI informiert worden, und so ist ein erster Schritt bereits erfolgt. Alle anderen Betreiber kritischer Infrastrukturen müssen auf eine Definition ihres Status durch eine noch in Arbeit befindliche Rechtsverordnung warten. Erst dann wird deutlich, wer wirklich zur KRITIS-Kategorie gehört.

Einige Dienstleister sind sich aber schon jetzt ihrer Bedeutung für die Gesellschaft bewusst und stehen kurz vor Einführung eines funktionierenden IT-Sicherheitsmanagements oder haben es bereits in Betrieb. Wann genau die Rechtsverordnung Klarheit bringen wird, kann noch nicht gesagt werden. Wenn sie dann aber in Kraft ist, müssen alle betroffenen Unternehmen schnellstmöglich ihren Anteil beitragen … Wir befinden uns also eigentlich genau jetzt in einer nicht näher definierten Übergangszeit.

Security-Insider: Und wenn diese Frist nicht eingehalten wird? Müssen die Betreiber dann mit Sanktionen oder konkreten Geldstrafen rechnen?

Eitel: Den bislang spezifizierten Unternehmensbereichen drohen schon jetzt maximale Bußgelder in Höhe von bis zu 100.000 Euro, wenn Störungen nicht durch angemessene organisatorische und technische Maßnahmen verhindert wurden. Mit geringeren Bußgeldern sollen dagegen verspätete Meldungen von Sicherheitspannen sanktioniert werden.

Aus meiner Sicht ergibt die Androhung von Strafen so lange keinen Sinn, bis nicht klar definiert ist, wer von dem Gesetz überhaupt betroffen ist und welche Sicherheitsstandards eingehalten werden müssen. Man sollte also das Thema IT-Sicherheit nicht auf die lange Bank schieben und nicht erst dann etwas unternehmen, wenn per Gesetz Sanktionen drohen, sondern sich schon jetzt mit dem Thema auseinandersetzen und auf die kommenden Konkretisierungen vorbereitet sein.

Security-Insider: Wie wird sichergestellt, dass die Auflagen kontinuierlich erfüllt werden? Beispielsweise durch regelmäßige Audits oder Ähnliches? Gibt es eine unabhängige Zertifizierungsstelle?

Eitel: Das BSI soll als Zentralstelle für IT-Sicherheit die Meldungen der Betreiber kritischer Infrastrukturen auswerten. Für die geplanten Mindestanforderungen wird nur ein Rahmen vorgegeben, die Details sollen von den betroffenen Firmen zusammen mit Verbänden und dem BSI festgelegt werden. Auch wenn man mit einer Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes gute Vorarbeit leisten kann, muss das nicht zwangsläufig zur Pflicht werden.

Solange noch keine nähere Qualifizierung stattgefunden hat und das BSI keinen eindeutigen Rahmen definiert, sollte von den Unternehmen nicht vorschnell agiert werden. Allerdings ist sicherlich jede qualifizierte, dokumentierte, standardisierte oder gar regelmäßig auditierte Maßnahme zur IT-Sicherheit von erheblichem Vorteil für die Zukunft.

Dabei ist es völlig gleich, ob das Unternehmen nun unter die KRITIS-Maßgaben fällt oder nur als Dienstleister für ein solches Unternehmen tätig ist. IT-Sicherheit sollte als Vorteil, als vertrauensbildende Maßnahme gesehen und gelebt werden statt als „notwendiges Übel“.

Security-Insider: Was raten Sie als Sachverständiger den betroffenen Unternehmen bzw. Betreibern? Wie sollten die ersten Schritte aussehen?

Eitel: Das IT-Sicherheitsmanagement ist analog zum Datenschutzmanagement und Qualitätsmanagement zu sehen. Letztlich ist auch in Bezug auf die IT zu betrachten: Was habe ich, was mache ich, funktioniert das auch erfolgreich, und, falls nicht, wie passe ich die Prozesse für eine Optimierung an? Das lässt sich beispielsweise in einem sogenannten PDCA-Zyklus abbilden, kurz für „plan – do – check – act“.

Wer sich mit dem IT-Sicherheitsmanagement von Grund auf beschäftigen muss, sollte sich zunächst ein Fundament im Unternehmen schaffen. Dazu zählen insbesondere die Festlegung von Zuständigkeiten, die Bereitstellung von Ressourcen und die Festlegung von strategischen Schutzzielen, die in einer Einrichtung erreicht werden sollen.

Im nächsten Schritt führt man eine Risikoanalyse für alle betrachteten Prozesse durch, bezogen auf einzelne Szenarien. Die Ergebnisse der Risikoanalyse werden mit den zuvor aufgestellten strategischen Schutzzielen abgeglichen und daraus notwendige Maßnahmen ermittelt. Die im Laufe der Zeit durchgeführten Maßnahmen nach Zwischenfällen werden turnusmäßig analysiert.

Ist das definierte Schutzziel nicht adäquat erreicht worden, passt man die Maßnahmen entsprechend an. Dieses System verläuft zyklisch weiter, sodass man von einem durchgehenden und sich idealerweise stets verbessernden Sicherheitsmanagement profitiert.

Man muss also das Rad nicht unbedingt neu erfinden. Wer schon ein Qualitätsmanagement im Unternehmen betreibt, kann sich hier mit IT-Sicherheitsprozessen direkt einbinden oder Strukturen übernehmen und das Wissen der Qualitätsmanager nutzen.

Security-Insider: Welche Rolle spielt der IT-Grundschutz nach dem ISO-27001-Standard? Sollten alle betroffenen Unternehmen ein Information Security Management System – kurz ISMS – einführen und sich zertifizieren lassen?

Eitel: Die Einführung und Umsetzung eines ISMS ist grundsätzlich zu befürworten, ganz gleich, ob das Unternehmen nun zur KRITIS-Kategorie gehört oder nicht. Solange die Rechtsverordnung hier noch keine klaren Aussagen trifft, sollten sich Unternehmen im Rahmen ihrer Branche um die Entwicklung eigener Standards bemühen und diese Branchenstandards dann durch das BSI genehmigen lassen.

Eine Zertifizierung nach ISO 27001 ist sicherlich nützlich, aber aus heutiger Sicht nicht verpflichtend. Innerhalb der Branchen sollten Unternehmen vielmehr die eigenen Gefährdungen ihrer IT-Infrastruktur und geeignete Sicherheitsmaßnahmen definieren. Wenn diese umgesetzt und regelmäßig von neutraler Stelle auditiert werden, ist dem Anspruch des Gesetzes Genüge getan.

Nur so kann ein aktives Sicherheitsmanagement realisiert und nachgewiesen werden. Da das IT-Sicherheitsgesetz eine Meldepflicht der Unternehmen definiert, sollte auch nachgewiesen werden, dass trotz umfänglicher Maßnahmen ein Schadensfall eingetreten ist und man sich so nicht der Fahrlässigkeit schuldig macht.

Security-Insider: Soviel zu den großen Betreibern. Wie sieht es mit den kleinen Betrieben aus, die zum Beispiel als Zulieferer agieren oder nicht als KRITIS-Unternehmen – trotz kritischer IT-Infrastrukturen – eingestuft werden?

Eitel Ohne abschließende Definition, welche Unternehmen dazugehören, kann hier wenig gesagt werden. Für ein IT-Sicherheitsgesetz hätte ich mir einen größeren Wurf vorstellen können, der die IT-Sicherheit grundsätzlich für alle Unternehmen verpflichtet, dazu ist es leider nicht gekommen. Alle Unternehmen, die sich an die Bestimmungen halten müssen, sollten im Rahmen ihrer IT-Sicherheitskonzeptionen natürlich auch auf ihre Zulieferer achten!

Kritische Prozesse müssen grundsätzlich beleuchtet werden, und die kleinen Unternehmen und Zulieferer sollten schon aus Marketinggründen für eine sichere IT-Konzeption sorgen ¬– nennen wir es Wettbewerbsvorteil. Die IT-Sicherheit vielleicht noch unabhängig zertifizieren zu lassen, wäre natürlich noch besser und stabilisiert die eigenen internen Prozesse und die der KRITIS-Auftraggeber umso mehr.

Security-Insider: Was denken Sie persönlich über das IT-SiG? Ist es Ihrer Meinung nach angemessen oder fehlen Anforderungen?

Eitel: Ich hätte mir, wie gesagt, einen umfangreicheren Entwurf zur IT-Sicherheit vorgestellt. Hier werden wieder nur einzelne und noch nicht qualifiziert benannte Unternehmen unter Androhung hoher Geldbußen gezwungen, einen noch nicht definierten Katalog zu erfüllen. Ein solches Gesetz zu verabschieden, ohne dass die Adressaten und Maßgaben klar benannt werden, ist aus meiner Sicht unangemessen und verfrüht. Zumal das Parlament zum Zeitpunkt des Beschlusses am 24. Juli 2015 unter einem massiven Hackerangriff stand.

Nur vier Wochen zuvor ist ein Trojaner in das IT-Netz der Bundestags eingeschleust worden, der vermutlich alle Computer des Netzes befallen hatte. Selbst das BSI, das ja nun mit dem neuen Gesetz mit erheblich mehr Rechten und Pflichten ausgestattet worden ist, konnte für die Sicherheit nicht mehr garantieren.

Genau in diesem Zeitraum ein noch nicht ausgereiftes Gesetz gegen Opposition, viele Verbände und gute Einwände zu beschließen, sollte uns zu denken geben. Aber grundsätzlich ist es natürlich wichtig, den ersten Schritt in Richtung IT-Sicherheit gegangen zu sein; nach der Evaluation in vier Jahren wird sich hoffentlich zeigen, ob dies der richtige Ansatz war.

(ID:43809440)