Bild von Werner Moser auf Pixabay

Mit dem Voranschreiten der Digitalisierung häufen sich ständig neue Gefahren für den Datenschutz, die sowohl Gesellschaft, als auch Politik und Wirtschaft vor Herausforderungen stellen. Mittlerweile hat auch der Deutsche Gesetzgeber dies erkannt und einen Gesetzesentwurf geschaffen, der auch in Zeiten des rasanten globalen Fortschritts, IT-Sicherheit gewährleisten soll.

IT-Sicherheitsgesetz

Das bereits für die 19. Legislaturperiode geplante IT-Sicherheitsgesetz ist Teil des Koalitionsvertrages von Union sowie SPD und soll die Sicherheit informationstechnischer Systeme erhöhen. Ein besonderes Augenmerk des Entwurfs liegt vor allem auf die Erweiterung von Befugnissen und Pflichten. Dazu gehören:

• • Das Bundesamt für Sicherheit und Informationstechnik erhält u. a. erweiterte Befugnisse um den IT-Schutz der Bundesverwaltung mittels Kontrolle der eigens gesetzten Mindestanforderungen an die IT sicherzustellen
  • Öffentliche Telekommunikationsnetze sowie deren Schnittstellen sollen durch das erleichterte Auffinden und Unschädlichmachen von Schadprogrammen sowie die Überprüfung von Sicherheitslücken ebenfalls mittels erweiterter Befugnisse des BSI geschützt werden
  • Zur Abwehr bestimmter Gefahren erhält das BSI zudem eine Anordnungs- sowie Eingriffsbefugnisse gegenüber Telekommunikations- und Telemedienanbietern
  • Zudem ist es nun Aufgabe der BSI den Verbraucherschutz im Bereich Informationssicherheit sicherzustellen
  • Unternehmen im besonderen öffentlichen Interesse, sowie Betreiber kritischer Infrastrukturen (sog. KRITIS) werden wiederum mehr Pflichten zum Erhalt der IT-Sicherheit auferlegt
  • Es soll zudem ein einheitliches Sicherheitskennzeichen geschaffen werden, das die IT-Sicherheit der Produkte bescheinigt

Der Bußgeldkatalog für Verstöße wird überarbeitet. Während der Gesetzgeber im ersten IT-Sicherheitsgesetz noch einen Strafrahmen von 100.000 Euro je Verstoß vorsah, wurde dieser nun an die Regelungen der DSGVO angeglichen. Zukünftig werden Verstöße mit Geldbußen von bis zu 20.000.000 Euro oder mit bis zu 4 Prozent des gesamten weltweit erzielten jährlichen Umsatz des vorangegangenen Geschäftsjahrs geahndet. Je nachdem, welcher der Beträge höher ist

KRITIS- Betreiber kritischer Infrastrukturen

In unserer Gesellschaft können technische Systeme gar nicht mehr weggedacht werden. Ohne Strom wäre keine industrielle Produktion möglich, ohne die stetige Trinkwasserversorgung, wäre das heutige Leben ebenfalls kaum vorstellbar. Hätten wir keine funktionierende Informations- und Kommunikationstechnik, wäre kaum eine Transaktion, geschweige denn ein Bankgeschäft machbar. Nahezu jeder Bereich unseres täglichen Lebens wird somit durch die moderne Technik gestützt. Derlei Systeme und Einrichtungen benötigen wiederum bestimmte Basisdienste, um ordnungsgemäß funktionieren zu können. Sowohl Kraftfahrzeuge als auch Heizanlagen brauchen Treib- und Brennstoff, Gebäude benötigen eine zuverlässige Energie- und Wasserversorgung und ohne Transportwesen würden Waren und Dienstleistungen weder die Fertigung noch den Absatzmarkt erreichen. Diese Basisdienste sind für unsere Gesellschaft somit unabdingbar und werden daher als kritische Infrastrukturen (KRITIS) bezeichnet. Wie bereits erwähnt erweitert sich laut Gesetzesnovelle der Pflichtkatalog für sog. KRITIS-Unternehmen. Insbesondere § 8a Absatz BSIG hat in diesem Zusammenhang eine Berühmtheit erlangt, da dieser viele Verpflichtungen formuliert (u. a. die Pflicht, Systeme mit Angriffserkennung einzusetzen, die den laufenden Betrieb automatisch erfassen und auswerten).

§ 8a BSIG sowie der dazugehörige Prüfkatalog

Der mit den Anforderungen des § 8a BSIG verbundene Aufwand sowie das Fehlen einer einheitlichen Umsetzung der KRITIS-Anforderungen hat viele betroffene Unternehmen bisher verunsichert. Zwar haben einzelne Sektoren branchenspezifische Sicherheitsstandards im Gesundheitswesen oder der Fernwärme sowie der Wasser/ Abwasserversorgung festgelegt (B3S). Andere Branchen, die ebenfalls kritische Infrastrukturen betrieben, mussten sich jedoch selbst behelfen. Aus diesem Grund existiert seit dem 28. Februar 2020 ein Prüfkatalog für alle KRITIS-Unternehmen, das einen einheitlichen Rahmen für die Durchsetzung der erforderlichen Maßnahmen und somit Sicherheit schaffen sollte. Leider lag die im neuen § 8a Absatz 1a BSIG beschriebene langfristige Wirksamkeit der Maßnahmen nicht im Fokus des Katalogs. Aus diesem Grund existiert seit Mai 2020 ein vom Institut der Wirtschaftsprüfer veröffentlichte aktuellere Fassung des Prüfungskatalogs die sog IDW PH 9.860.2 „Prüfung bei Betreibern kritischer Infrastrukturen“.

Die aktuelle Fassung des Prüfungskatalogs IDW PH 9.860.2

Der neue Katalog bezieht sich speziell auf § 8a Absatz 1 BSIG und kann im Allgemeinen in folgende Abschnitte unterteilt werden (Details können unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Konkretisierung_Anforderungen_Massnahmen_KRITIS.html;jsessionid=90CA4611590184EEC1AAD2E8DEE1EE44.internet481

abgerufen werden.):



Das Informationssicherheitsmanagementsystem (ISMS)
Darin wird festgelegt, dass die Unternehmensleitung dieses Managementsystem leitet und überwacht. Zudem müssen Zuständigkeiten für die Verantwortlichkeit des IT-Systemschutzes genauestens festgelegt und zu Kontrollzwecken klar voneinander getrennt werden.

Asset Management
Die zur Erbringung der kritischen Dienstleistung eingesetzten IT-Systeme und Komponenten (Assets) wie z.B. PCs, Peripheriegeräte, Telefone, Netzwerkkomponenten, Server etc. müssen sowohl inventarisiert und identifiziert werden, als auch der Umgang mit den Assets sowie mit den dazugehörigen Informationen. Ferner darf die Zuweisung von Verantwortlichen einzelner Assets nicht fehlen.

Risikoanalysemethode
Es müssen Richtlinien für die Organisation des Risikomanagements festgelegt werden. Dazu müssen die IT Risiken regelmäßig analysiert, beurteilt sowie identifiziert werden. Zu diesem Zweck sollen wiederum Richtlinien zur Folgeabschätzung erarbeitet werden sowie Maßnahmen eingeführt werden, um die Risiken zu senken.

Continuity Management
Vertreter der Unternehmensleitung müssen einen Prozessbevollmächtigten für das Kontinuitäts- und Notfallmanagement festlegen, der sowohl für die Etablierung, als auch die Einhaltung der Richtlinien einzustehen hat. Zudem muss ein Rahmenwerk zur Planung der Kontinuität der für die kritische Dienstleistung notwendigen IT (einschließlich Notfallpläne) erstellt werden. Sowohl die Folgeabschätzungs- als auch Kontinuitätspläne müssen regelmäßig überprüft und auf ihre Wirksamkeit getestet (evtl. aktualisiert) werden.

Technische Informationssicherheit
Um Kapazitätsengpässe zu vermeiden, sollen ausreichend Personal- und IT-Ressourcen eingeplant werden. Diese sollen die Unternehmensnetzwerke vor Schadprogrammen schützen, ein System zur Datenwiederherstellung und deren Schutz mittels einer sicheren Anmeldung, sowie der Einschränkung von administrativen Softwareprogrammen einrichten sowie Schwachstellen beseitigen. Dabei spielt die Verschlüsselung, sowie das Überwachen von Verbindungen eine wichtige Rolle. Richtlinien zur Datenübertragung sowie Vertraulichkeitserklärungen und Richtlinien, die sämtliche Aspekte von Informationssystemen regeln, spielen dabei eine zentrale Rolle. Zugriffe über mobile Geräte der KRITIS-Betreiber müssen ebenfalls mittels Richtlinien geregelt sein.

Personelle und organisatorische Sicherheit
Das Personal soll sowohl vor als auch nach der Einstellung überprüft (Personalausweis sowie Führungszeugnis) werden. Zudem sollen individuelle Zugriffsberechtigungen sowie Rollenzuweisungen bzw. Funktionstrennungen dafür sorgen, dass interne Sicherheitsverstöße schnell ermittelt werden können (u. a. durch das vier Augen Prinzip). Durch Schulungen, Überprüfungen und gegebenenfalls Disziplinarmaßnhamen (bis hin zu einer Kündigung) haben die Unternehmen sicherzustellen, dass die Sicherheitsrichtlinien von den Mitarbeitern eingehalten werden.

Bauliche/Physische Sicherheit
Durch bauliche Maßnahmen sollen sowohl das Rechenzentrum, als auch sonstige Bestandteile der Netzwerkinfrastruktur schützen und mittels Wartung aufrechterhalten werden.

Vorfallerkennung und Bearbeitung
Sicherheitsvorfälle sollen gemäß der Informationssicherheitsrichtlinie dokumentiert, sowie zentral gesammelt und gesichert werden. Mitarbeiter sollen gegebenenfalls vertraglich dazu verpflichtet werden, Sicherheitsvorfälle zentral zu melden. Durch Auswertung sollen wiederholte Vorfälle erkannt und mittels entsprechender Maßnahmen zukünftig verhindert werden.

Überprüfung im laufenden Betrieb
Schwachstellen die entsprechenden Gegenmaßnahmen müssen monatlich automatisiert überprüft sowie aktualisiert werden. Zudem soll die Compliance der internen IT-Prozesse durch fachkundiges Personal oder Dritte kontrolliert und Protokollierungen von Vorfällen mittels Log-Auswertung überprüft werden. Infrastruktur Komponenten, die auf diesem Wege als kritisch eingestuft werden, sollen einem Stresstest unterzogen werden, um mögliche Schwachstellen in diesen Bereichen zu beheben.

Externe Informationsversorgung und Unterstützung
Jedwede Sicherheitsverstöße innerhalb eines KRITIS-Unternehmens sollen mittels eines zuvor festgelegten Verfahrens umgehend bei Behörden gemeldet werden.

Meldewesen
Dafür ist eine zuvor eingerichtete Zentralstelle innerhalb eines KRITIS-Unternehmens zuständig, die jeden ihr intern gemeldeten Verstoß an das BSI weiterleitet.

Lieferanten Dienstleister und Dritte
Sollten gewisse Dienste durch externe Unternehmen erledigt werden, hat der KRITIS-Betreiber sicherzustellen, dass diese u. a. vertraglich festgelegte Sicherheitsstandards einhalten.