Der konforme Umgang mit dem IT-Sicherheitsgesetz Auch Dienstleister von KRITIS-Unternehmen müssen den Richtlinien genügen

Das erweiterte Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz IT-SiG) zum Schutz Kritischer Infrastrukturen (KRITIS) sowie die KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) werden 2018 bindend – mit erheblichen Folgen für gut 1.700 Unternehmen und deren Subunternehmer. Auch KRITIS nahe Unternehmen sollten die Sicherheit ihrer IT-Systeme überprüfen, um IT-SiG-konform zu handeln.

Anbieter zum Thema

Vogel IT-Akademie

FNT GmbH

maincubes Holding & Service GmbH

Consultix GmbH

Im Sinne der EU-Richtlinie 2008/114/EG ist eine „‘kritische Infrastruktur‘ die in einem Mitgliedstaat gelegene Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrechterhalten werden könnten.“ (siehe: Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 (PDF)). Von Heizkraftwerken über Hospitäler bis hin zur Bahn sind die kritischen Infrastrukturen ein weites Feld.

Andres Dickehut, CEO des Marketing- und IT-Dienstleisters Consultix GmbH, erläutert Chancen und Risiken für Unternehmen vor dem Hintergrund des aktuellen IT-Sicherheitsgesetzes für Kritische Infrastrukturen. Denn: „Security first“ laute der Ansatz der Bundesregierung, die im Zuge der voranschreitenden Digitalisierung ihre Maßnahmen zum Schutz von Kritischen Infrastrukturen auch auf die Informationstechnologie ausgeweitet hat.

Denn der digitale Wandel macht Unternehmen und Kritische Infrastrukturen anfällig für Cyber-Attacken. Daher sah man von Seiten der EU sowie des Bundes Bedarf, den Blick bei den Gefahren bei Kritischen Infrastrukturen auch auf die Komponente „Informationstechnologie“ auszuweiten. Die Bundesregierung hat deshalb 2015 das „IT-SiG“ verabschiedet. Es richtet sich ursprünglich an KRITIS-Betreiber laut BSI-KRITIS-Verordnung.

Das IT-SIG des BSI

Die Einhaltung des IT-Sicherheitsgesetzes ist essentieller Bestandteil der IT-Compliance und unterliegt dem BSI. Der erste Teil dieser Rechtsverordnung ist im Mai 2016 in Kraft getreten und umfasste die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser und regelte, welche Unternehmen aus diesen Sektoren unter das IT-Sicherheitsgesetz fallen.

Im Juni 2017 folgte dann im zweiten Teil die Festlegungen für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Ab 3. Mai 2018 ist die Einhaltung der Verordnung für alle KRITIS-Betreiber verpflichtend.

Wer ist betroffen und was ist zu tun?

Einen ersten Überblick, ob Unternehmen zu Betreibern Kritischer Infrastrukturen im Sinne des Gesetzes zählen, kann in der BSI-Kritisverordnung nachgeschlagen werden (siehe: Zusammenfassung der wichtigsten FAQs für KRITIS-nahe Unternehmen. Betreiber Kritischer Infrastrukturen sind laut IT-SiG dazu verpflichtet, für diejenigen IT-Systeme, -Komponenten oder -Prozesse, die für den Betrieb der Kritischen Infrastruktur entscheidend sind, angemessene Schutzmaßnahmen zu ergreifen. Betroffene Unternehmen müssen folgende Punkte beim Schutz der IT-Infrastrukturen und -Systeme in Zukunft besonders berücksichtigen:

• die Gewährleistung der Sicherheit der Systeme und Anlagen,

• das Erkennen, Analysieren und Eindämmen von Sicherheitsvorfällen (SIM),

• die Sicherstellung der Betriebskontinuität (BCM),

• die ständige Überwachung, Überprüfung und Erprobung ihrer IT-Systeme,

• die Einhaltung internationaler Normen.

Der erste Schritt als KRITIS-Unternehmen ist es, eine Risikobetrachtung durchzuführen, um zu eruieren, wo die eigenen Bedrohungen und Schwachstellen sowie die abhängigen Risikofaktoren liegen. Die IT – so schreibt es die BSI-KRITIS-Verordnung vor – muss dabei auf dem „Stand der Technik“ sein; sprich: das hauseigene Netzwerk gesichert, kritische IT-Ressourcen bestimmt und damit die Ausfallsicherheit erhöht sein. Kommt es nämlich zu einem Single Point of Failure, darf es nicht den Ausfall des gesamten Systems nach sich ziehen.

Vorsicht! Anforderungen gelten auch für Subunternehmen

Die geforderten Schutzmaßnahmen für den Betrieb der Kritischen Infrastruktur gelten aber auch für nachgelagerte Dienstleistungen und Prozesse. Die Anforderungen hinsichtlich der IT-Sicherheit übertragen sich von den Betreibern auf deren Subunternehmen. Ein Aspekt, der laut BSI bisher nur von wenigen KRITIS-Unternehmen bedacht wird, zukünftig aber stärker in den Fokus rücken soll.

Bildergalerie

Bildergalerie mit 5 Bildern

Ein Beispiel: Strom- und Treibstoffversorgung, die unter KRITIS fallen, wirken auf andere Branchen. Eine Bank kann sich nicht darauf verlassen, dass die Infrastruktur des Energieversorgers sicher ist. Sie muss kalkulieren, dass es zu einem Ausfall kommt.

Das heißt für die Bank: Sie muss selbst Vorsorge treffen, um sich KRITIS-konform aufzustellen, zum Beispiel mit einer Netzersatzanlage. Beauftragt der KRITIS-Betreiber einen Subunternehmer, muss er Sorge tragen, dass dieser entsprechende Sicherheitsvorkehrungen für die IT-Infrastruktur trifft. Um den Schutzbedarf zu erfüllen, müssen auch von Seiten der Subunternehmer Richtlinien erstellt, Konzepte entwickelt und Sicherheitsmaßnahmen festgelegt werden.

Zudem gelten laut BSI künftig auch für Anbieter von digitalen Diensten – wie etwa Online-Marktplätze, Online-Suchmaschinen oder Anbieter von Cloud-Computing-Diensten – erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Von dieser Neuregelung sind laut Bundesinnenministerium hierzulande zwischen 500 und 1.500 Unternehmen betroffen (siehe: Einordnen der Digitalen Dienste ins IT-SiG, insbesondere Seite 11).

Wie wäre es mit einem externen Rechenzentrum?

Für Unternehmen, die ihre IT in einem eigenen Rechenzentrum betreiben, ist die vollumfängliche Gewährleistung der IT-Sicherheit und -Verfügbarkeit eine Herausforderung. So könnte es im Falle eines großflächigen Stromausfalls oder einer Cyber-Attacke sein, dass die IT dieser Unternehmen ausfällt und wichtige Prozesse nicht mehr funktionieren. Bei KRITIS-Betreibern hätte das verheerende Folgen für das Leben in Deutschland.

Eine Lösung für KRITIS-Betreiber, die Verfügbarkeit und IT-Sicherheit zu gewährleisten, ist die Infrastruktur wie Datenspeicher und Server in ein hochsicheres Rechenzentrum auszulagern, bevorzugt in Deutschland. (siehe: Kasten) Durch das Hosting in Deutschland, die Berücksichtigung der gesetzlichen Datenschutz-Bestimmungen sowie die Erfüllung hoher Anforderungen an die generelle IT-Sicherheit bietet das Bremer Rechenzentrum eine sichere und zertifizierte Basis für die BSI-Kritisverordnung und das erweiterte IT-Sicherheitsgesetz, das ab Mai 2018 für alle KRITIS-Unternehmen bindend ist. Für KRITIS nahe Unternehmen heißt das, sich schnellstmöglich um die IT-Sicherheit ihrer Infrastruktur zu kümmern.

KRITIS-Betreiber haben keine Übergangsfrist mehr, wenn im Zuge der neuen Befugnisse des BSI zukünftig auch unangekündigte Kontrollbesuche der Behörde möglich sind. In diesem Fall sind Audits, Prüfungen oder Zertifizierungen zum Nachweis der IT-Sicherheit jederzeit vorzulegen. Zusätzlich zu den Anforderungen sind IT-Störungen grundsätzlich meldepflichtig. Hierzu müssen die Unternehmen dem BSI vorab eine Kontaktstelle nennen.

Durch die Verschärfung des IT-SiG und die Ausweitung der KRITIS-Verordnung stellt sich die Frage: Gehören bald alle Unternehmen zu KRITIS? Vor diesem Hintergrund sind für Unternehmen Outsourcing Optionen der IT-Infrastruktur in hochsichere deutsche Rechenzentren, Zertifizierungen im Bereich IT-Sicherheit und Datenschutz essentieller denn je.

* Andres Dickehut ist CEO des Marketing- und IT-Dienstleisters Consultix GmbH.

(ID:45100488)