industrieplatz hessen
 
Hessenboebbel

Thema des Monats: Oktober 2014

IT-Sicherheitsgesetz im Praxisspiegel

Die erheblich gestiegenen Gefahren von Cyberkriminalität erfordern vom Gesetzgeber klare Regelungen. Im Jahr 2013 veröffentlichte das Bundesinnenministerium (BMI) einen ersten Entwurf für ein neues IT-Sicherheitsgesetz. Dieser wurde von der Industrie abgelehnt - die Begründung dafür: er sei  kontraproduktiv, ineffektiv sowie bürokratisch und teuer. Jetzt hat das BMI nachgebessert und einen neuen Entwurf erarbeitet. Dessen wesentliche Bestimmungen sind die Einführung von Mindestanforderungen und Meldepflichten für Betreiber Kritischer Infrastrukturen und die Erweiterung der Befugnisse des Bundeskriminalamtes (BKA) in den Bereichen der IT-Sicherheit und Strafverfolgung von Cyberkriminalität.

Nachdem die Industrie den ersten Gesetzesentwurf im vergangenen Jahr abgelehnt hat, hatte sie Erwartungen und Vorschläge für die Ausgestaltung des IT-Sicherheitsgesetzes formuliert.  Inwieweit wurden diese im neuen Entwurf berücksichtigt?

Der Adressatenkreis „Kritische Infrastrukturen“
In §2 Absatz 10 des Entwurfs definiert das BMI folgende Sektoren als Kritische Infrastrukturen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanzwesen
  • Versicherungswesen

Der Bundesverband der Deutschen Industrie (BDI) forderte, dass im Gesetz nicht nur die verschiedenen Sektoren als Adressaten angesprochen, sondern auch die einzelnen Infrastrukturelemente konkret identifiziert werden – um den Adressatenkreis zu verkleinern. Der Entwurf listet hier zwar eine Reihe kritischer Dienstleistungen für die einzelnen Sektoren auf, bleibt dabei im Verhältnis zur Forderung des BDI aber unpräzise. Während der BDI in seinem Positionspapier deutliche Definitionen der kritischen Dienstleistungen wie beispielsweise „Umspannwerk“ verlangt, spricht man im Gesetzesentwurf weiterhin von der Stromversorgung (Branche: Elektrizität) als kritischer Dienstleistung.


Erarbeitung branchenspezifischer Standards
Der neue Entwurf des IT-Sicherheitsgesetzes sieht vor, dass die Betreiber Kritischer Infrastrukturen und ihre Branchenverbände eigene branchenspezifische Sicherheitsstandards vorschlagen können (§8a Absatz 2), die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und anerkannt werden. Damit erfüllt der Entwurf die Erwartung der Industrie, Standards in der Selbstorganisation zu entwickeln und damit brancheninterne Lösungen staatlichen Maßnahmen vorzuziehen. Im Gegensatz zum Vorschlag des BDI sieht der Entwurf allerdings eine gesetzliche Verpflichtung der Unternehmen zur Einhaltung von Mindestanforderungen an IT-Sicherheit vor. Die weitere Nutzung bereits bestehender eigener Sicherheitssysteme nach internationalen Standards steht den Unternehmen aber frei, sofern diese die Mindestanforderungen und Branchenstandards erfüllen.Die Aufforderung zur Einrichtung branchenspezifischer Standards gilt nicht für Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlicher Telekommunikationsdienste. Für sie gelten weiterhin die Regelungen des Telekommunikationsgesetzes.


Definition des Begriffs „erhebliche IT-Sicherheitsvorfälle“
Im Gesetzesentwurf wird wiederholt festgelegt, dass Betreiber Kritischer Infrastrukturen dazu verpflichtet sind, „erhebliche IT-Sicherheitsvorfälle“ zu melden, ohne diese zu definieren.  Stattdessen ist geplant, dass das BSI gemeinsam mit Betreibern Kritischer Infrastrukturen und Aufsichtsbehörden einen „Kriterienkatalog für meldungsrelevante Sicherheitsvorfälle“ erarbeitet. Damit entspricht der Entwurf der Forderung der Industrie nach einer praxistauglichen Definition des Begriffs.

Meldungen durch Anonymisierung und Verschlüsselung schützen
Damit Unternehmen durch die Meldung von Angriffen und Beeinträchtigungen keine irreparablen Imageschäden und Vertrauensverluste erleiden, forderte die Wirtschaft, dass die Meldung an das BSI anonymisiert und hochsicher verschlüsselt erfolgen soll. Dem wurde teilweise entsprochen. Der neue Gesetzesentwurf unterscheidet hier je nach Schweregrad des Vorfalls:

  • Beeinträchtigungen, die die Funktionalität des Unternehmens bedrohen können sind meldepflichtig, eine eindeutige Nennung des Unternehmens ist jedoch nicht notwendig, sondern kann pseudonymisiert erfolgen.
  • Beeinträchtigungen, die zu Ausfällen oder Beeinträchtigungen Kritischer Infrastrukturen führen können, sind unter Nennung des Betreibers zu melden -  weil sie zeitkritisch sind und eine unmittelbare Gefährdung der Versorgungssicherheit besteht.

Meldung an eine einzige Behörde
Unternehmen müssen derzeit im Rahmen der für sie relevanten Gesetze (z. B. das Telekommunikationsgesetz (TKG) oder Energiewirtschaftsgesetz (EnWG)) Cybersicherheitsvorfälle an verschiedene Behörden melden. Diese Verwirrung und damit verbundene Ineffizienz vermeidet der neue Gesetzesentwurf. Er definiert das BSI als zentrale Meldestelle.

Umsetzungsfrist verlängern
Die Forderung der Wirtschaft nach einer Verlängerung der Umsetzungsfrist auf mindestens drei Jahre wird nicht erfüllt. Laut dem neuen Entwurf müssen Betreiber Kritischer Infrastrukturen innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes dem Stand der Technik entsprechende Sicherheitsvorkehrungen einführen.

Bei der Überarbeitung des Entwurfs für ein IT-Sicherheitsgesetz ist das Bundesinnenministerium auf die Forderungen und Vorschläge der Industrie im Wesentlichen eingegangen. Durch die Festlegung des BSI als zentrale Meldestelle, die Verpflichtung der Unternehmen zum regelmäßigen Nachweis der Erfüllung der Mindestanforderungen (mindestens alle zwei Jahre) sowie die Meldepflicht von Beeinträchtigungen und Angriffen, schafft der Gesetzesentwurf grundlegende Präventionsmaßnahmen. Insgesamt sieht dieser Entwurf, ebenso wie sein Vorgänger, ein hohes Maß an Selbstregulierung der verschiedenen Branchen vor, was seitens der Wirtschaft unterstützt wird.


Aufwandsneutral?
Aufgrund der Erweiterung der Kompetenzen von BSI und BKA sowie der Mitwirkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Verfassungsschutz (BfV) entsteht ein höherer Verwaltungsaufwand der die Einrichtung zusätzlicher Planstellen und Kosten bedingt. Für die Wirtschaft entstehen hingegen angeblich nur dann weitere Kosten, wenn ihre bisherigen Sicherheitsvorkehrungen und –systeme die neuen Mindestanforderungen noch nicht erfüllen. Ob dies zutrifft, wird spätestens die Praxis zeigen.

Den aktuellen Entwurf des IT-Sicherheitsgesetzes finden Sie hier: www.bmi.bund.de

Das Positionspapier des BDI zu den Erwartungen der deutschen Industrie finden Sie hier: www.bdi.eu/download

 
Diese Seite teilen: teilen XING-Kontakten zeigen linkedin-Kontakten zeigen Auf Facebook posten Twittern! auf google teilen!