Meldepflicht bei IT-Sicherheitsvorfällen

KRITIS in öffentlichen Verwaltungen

| Autor / Redakteur: Lars Göbel* / Regina Willmeroth

Öffentliche Verwaltungen und Einrichtungen sind dazu aufgefordert, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten
Öffentliche Verwaltungen und Einrichtungen sind dazu aufgefordert, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten (Bild: © Nicolas Herrbach/DARZ)

Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es trägt der ­Tatsache Rechnung, dass die zunehmende Digitalisierung und Vernetzung auf der einen Seite große Wachstums- und Entwicklungspotenziale mit sich bringen, auf der anderen Seite jedoch die Verwundbarkeit von Kritischen Infrastrukturen (KRITIS) erhöhen.

Die deutsche Legislative hat quasi mit einem Federstrich dafür gesorgt, dass Unternehmen und Organisationen unterschiedlichster Größe und aus den verschiedensten Branchen, hierzu zählt auch die Verwaltung, ihre komplette Strategie zur Abwehr von Cyber-Angriffen und zur Gewährleistung von Ausfällen anpassen, wenn nicht gar neu denken müssen. Organisationen, deren Leistung für das Allgemeinwohl und den Fortbestand der Wirtschaft und Verwaltung in Deutschland unabdingbar ist, bekommen mit dem IT-Sicherheitsgesetz Auflagen, ihre IT-Sicherheit und Ausfallsicherheit nach dem aktuellen Stand der Technik auszurichten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die überwachende Behörde, die diese in der Vergangenheit unter Umständen als „Nice to Have“-eingestufte Fragestellungen konsequent überwacht. So besteht eine Meldeverpflichtung für betroffene Organisationen bei IT-Sicherheitsvorfällen und auch die mangelhafte oder nicht erfolgte Umsetzung der technischen Vorgaben ist mit Geldstrafen belegt.

Was jetzt zu tun ist

Was die von KRITIS betroffenen Organisationen konkret tun müssen, ist bislang noch nicht im Detail geklärt. Fest steht, dass gravierende IT-Sicherheitsvorfälle dem BSI gemeldet werden müssen und dass ein Ansprechpartner für IT-Sicherheitsfragen ernannt werden muss. Zwei sehr entscheidende Aspekte des IT-Sicherheitsgesetzes sind leider immer noch sehr schwammig ausgelegt.

Zum einen geht es um die Frage, welche Teile der eigenen IT-Infrastruktur konkret kritisch einzustufen sind und wie der geforderte Stand der Technik in Bezug auf IT-Sicherheit und Ausfallsicherheit erlangt werden kann. Hierzu geben weder die Vorschriften noch die Verordnung oder auch das Gesetz Auskunft.

Kritisch oder nicht?

Als ersten Schritt muss die von KRITIS betroffene Verwaltungseinheit für sich identifizieren, welche ihrer IT-Systeme von zentraler Bedeutung und Kritikalität für die Erbringung ihrer Kernleistungen sind und ob sie im Sinne des Gesetzes dann als kritisch einzustufen sind. IT-Verantwortliche müssen an dieser Stelle die teil­weise unübersichtliche IT nach ­Kritikalität einstufen und gleichzeitig gegebenenfalls auch Wechselwirkungen zwischen unterschiedlichen Systemen mitberücksichtigen.

Hier geht es darum, sich einen Überblick zu verschaffen. Die Etablierung eines funktionsfähigen Informationsicherheits-Managementsystems nach ISO 27001 ist hier der richtige Schritt. Im Allgemeinen bietet ISO 27001 die optimale Grundlage für gesetzeskonformes Handeln in diesem Kontext und ist der Goldstandard für alle in diesem Zusammenhang genutzten externen Services. In einer zweiten Runde sollte dann der vor einigen Jahren vom BSI erstellte Beschaffungsleitfaden für die Öffentliche Verwaltung studiert werden.

Schutzklassen

Das BSI empfiehlt im Rahmen dieses Dokuments, die IT-Infrastruktur und die genutzten Systeme in unterschiedliche Schutzklassen einzuordnen. Je höher die definierte Schutzklasse ist, desto höher ist auch der zu erwartende Schaden, wenn das System letztendlich ausfällt. An dieser Stelle muss der Verantwortliche auch einschätzen, wie hoch generell das Risiko eines Angriffs ist. In dem Moment, in dem sowohl die Schutzklasse als auch das Angriffsrisiko als hoch klassifiziert worden ist, muss die Qualitätsklasse der eingesetzten Technologie entsprechend ebenfalls hoch sein.

Stand der Technik

Wenn es in Gesetzen und Verordnungen um technische Inhalte geht, dann wird sehr oft mit schwammigen Formulierungen wie „nach dem allgemeinen Stand der Technik“ gearbeitet. Dieser wenig eindeutige Begriff beschreibt einen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der es ermöglicht, die gesetzlichen Vorgaben in der Praxis zu erfüllen. Oder juristisch gesprochen: „Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“

Wer sich dies einmal auf der Zunge zergehen lässt, der erkennt, dass die Anforderungen an IT-Sicherheit und Ausfallsicherheit von Infra­strukturen grundsätzlich hoch angelegt werden. Bleibt trotzdem immer noch die Frage zu klären, wie der allgemeine Stand der Technik für den Einzelfall erreicht und letztlich auch dokumentiert nachgewiesen werden kann. Auch das BSI gibt zu diesem Sachverhalt ­wenig Auskünfte.

Handlungsfelder

Bei genauer Betrachtung kommen, wenn man beispielweise den IT-Grundschutz des BSI betrachtet, für KRITIS zahlreiche Handlungsfelder zum Tragen. Es gibt in diesem Kontext zwei große Diskussionslinien, an denen man sich abarbeiten kann.

Zum einen ist dies der in der Berichterstattung stets präsente Pfad „IT-Sicherheit“. Zum anderen ist ein weiterer, nicht minder entscheidender Handlungsstrang das Thema Ausfallsicherheit. Alleine hier gibt es schon so viele Perspektiven, dass der Rahmen schnell gesprengt wird. Deshalb an dieser Stelle ein Blick auf die Fragen des IT-Betriebs in Rechenzentren, der Backup-Strategie sowie Disaster-Recovery-Konzepte.

Redundanz, Backup und Disaster Recovery

Dass Organisationen ihre IT mittlerweile verstärkt in externen Rechenzentren betreiben hat Gründe. Eines dieser, auch für den ­Bereich KRITIS schlagenden, ­Argumente ist der Bereich der Redundanz. Dies betrifft unter anderem die Themen Stromversorgung, Kühlung sowie Connectivity. Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Verteilungsnetzbetreiber oder der Energieversorgungsunternehmen.

Schon Unterbrechungen von mehr als zehn Millisekunden sind geeignet, den IT-Betrieb zu stören. Bei einer Messung mit zirka 60 Messstellen wurden in Deutschland rund 100 solcher Netzeinbrüche registriert. Davon dauerten fünf Ausfälle bis zu einer Stunde und einer länger als eine Stunde. Diese Unterbrechungen beruhten einzig auf Störungen im Versorgungsnetz. Dazu kommen Unterbrechungen durch Abschaltungen bei nicht angekündigten Arbeiten oder durch Kabelbeschädigungen bei Tiefbauarbeiten.

Wenn die Verwaltung ihre IT-Infra­struktur in externe Co-Location-Rechenzentren auslagert, erhält sie Zugriff auf mehrfach re­dundante und unterbrechungsfreie Stromversorgung. Diese Form der Absicherung ist beim Eigenbetrieb heute schlicht ineffizient und nicht mehr erschwinglich.

Gleiches gilt auch für die Gestaltung von physischen Zugangskontrollen. Die Infrastruktur zum Betrieb der IT (Gebäude und Räume) ist laut IT-Grundschutz durch geeignete Maßnahmen zu sichern. Dazu gehören beispielsweise die Bereiche Zugangsschutz und Diebstahlschutz sowie der Schutz vor Naturereignissen.

Datenverlust vermeiden

Auch der Verlust gespeicherter Daten kann erhebliche Auswirkungen auf Prozesse und damit auf die gesamte Verwaltung haben. Wenn relevante Informationen zerstört oder verfälscht werden, können dadurch Abläufe und Fachaufgaben verzögert oder sogar deren Ausführung verhindert werden. Insgesamt kann der Verlust gespeicherter Daten, neben dem Produktionsausfall und den Kosten für die Wiederbeschaffung der Daten, vor allem zu langfristigen Konsequenzen, wie Vertrauenseinbußen sowie einem negativen Eindruck in der Bevölkerung, führen.

Einen Schritt weiter gedacht landet man dann auch bei der Frage: Was tun, wenn es brennt? Ein Daten-Backup an einem separaten Standort ist der erste wichtige Schritt, um die IT im Falle eines Ausfalls weiterführen zu können. Doch das allein genügt nicht: Bei der Planung eines Business-Continuity-Konzepts sollten Disaster-Recovery-Lösungen bedacht werden. Im Katastrophenfall wie einem­ Brand im eigenen Rechenzentrum kann es zum Ausfall von Anwendungen und Serverkapazitäten kommen. Die intern gesicherten Daten allein reichen so nicht mehr aus, eine externe Fallback-Lösung muss her.

Man sieht, auch die Öffentliche Verwaltung ist jetzt zum Handeln aufgefordert. Das bedeutet konkret, die eigene IT-Infrastruktur und IT-Sicherheitsinfrastruktur gesetzeskonform auszurichten. Das wiederum bedeutet im Hinblick auf die Auswahl von Partnern für IT auf zertifizierte Leistungen zu setzen, die hundertprozentig compliant sind.

* Der Autor: Lars Göbel, Leiter Strategie & Innovation bei der DARZ GmbH

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44673991 / Services)