Management-Info IT-Sicherheitsgesetz

Allgemein

Die Bundesregierung plant aktuell ein IT-Sicherheitsgesetz, offiziell das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Das Gesetz wurde erstmals 2011 vorgestellt. Am 18. August 2014 stellte die Regierung einen geänderten Entwurf vor, über den bis Ende des Jahres abgestimmt werden soll. Hintergrund ist die zunehmende Gefahr und Betroffenheit Deutschlands durch immer ausgefeiltere Cyberangriffe, die wachsende Abhängigkeit der Unternehmen vom Internet und die immer größer werdende Bedeutung der Sicherheit und Verfügbarkeit der IT-Systeme. Hintergrund ist auch die Umsetzung der Richtlinie des Europäischen Parlaments und des Rates zur Gewährleistung einer hohen gemeinsamen Netz und Informationssicherheit in der Union. Ziel des Gesetzes ist die Steigerung der Sicherheit informationstechnischer Systeme und die Gewährleistung eines Mindestniveaus an IT-Sicherheit durch Mindestanforderungen an Risikomanagement, Sicherheitskonzepte und –Audits, besseren Informationsaustausch, sowie der Einführung einer Meldepflicht von Sicherheitsvorfällen.

Welche Unternehmen sind betroffen?

Der Gesetzesentwurf richtet sich in der jetzigen Fassung an alle Unternehmen, die Betreiber sog. kritischer Infrastrukturen sind, unabhängig von deren Sitz. Die Definition kritischer Infrastrukturen erfolgt in 7 Sektoren:   Energie (Stromversorgung, Versorgung mit Erdgas, Kraftstoff und Heizöl) Wasser (Trinkwasserversorgung und Abwasserbeseitigung)   Informationstechnik und Telekommunikation (Sprach- und Datenkommunikation, Verarbeitung / Speicherung von Daten)     Transport und Verkehr (Transport von Gütern und Transport von Personen im Nah- und Fernbereich) Gesundheit (medizinische Versorgung sowie Versorgung mit Arzneimitteln und Medizinprodukten) Ernährung (Lebensmittelversorgung) Finanz- und Versicherungswesen (Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel sowie Versicherungsleistungen)   Ausgenommen davon sind Kleinstunternehmen, d.h. solche mit weniger als 10 Angestellten und weniger als 2 Mio. € Jahresumsatz bzw. Jahresbilanzsumme. Allerdings ergeben sich Änderungen im Telemediengesetz (TMG) die wiederum für alle Anbieter von Telemediendiensten relevant sind, insbesondere solche Internet-Angebote und Applikationen, zu denen Nutzer sich registrieren.

Was wird geregelt?

Einführung angemessener Sicherheitsstandards

Genannte Unternehmen werden durch den Gesetzesentwurf verpflichtet, spätestens zwei Jahre nach Inkrafttreten des Gesetzes angemessene organisatorische und technische Vorkehrungen zum Schutz der IT-Sicherheit zu treffen. Die Angemessenheit richtet sich nach der Verhältnismäßigkeit im Vergleich zu den Schäden eines Ausfalls. Dieser dürfte bei genannten Unternehmen stets recht hoch sein. Die Vorkehrungen müssen alle zwei Jahre durch Vorlage der durchgeführten Audits oder Zertifizierungen – einschließlich der Liste der aufgedeckten Mängel – nachgewiesen werden.

Bereitstellung von Benachrichtigungs-Kontakten

Die betroffenen Unternehmen haben dem BSI jederzeit erreichbare Benachrichtigungskontakte für den Fall unverzüglicher Information zu benennen.

Meldepflicht von Sicherheitsrisiken und – vorfällen

Stellen Betreiber kritischen Infrastrukturen Risiken fest, die potenziell zur Beeinträchtigung oder zum Ausfall informationstechnischer Systeme, Komponenten oder Prozesse mit dem Ausfall der kritischen Infrastruktur als möglicher Folge führen können, sind sie verpflichtet, unverzüglich dieses Risiko zu melden. Eine Meldung hat unter Angabe der Branche, der eingesetzten Technik und den Rahmenbedingungen zu erfolgen, muss aber nicht den Betreiber namentlich nennen (anonyme Meldung). Sofern tatsächliche Beeinträchtigungen oder Ausfälle kritischer Infrastrukturen aufgrund o.g. Risiken eintreten, ist unverzüglich eine Meldung abzugeben, die auch den Betreiber benennt. Im Gegensatz zur bisher möglichen, freiwilligen Meldung an die Allianz für Cyber-Sicherheit, ist die im IT-Sicherheitsgesetz verankerte Meldung verpflichtend. Diese Meldung wird vom BSI jedoch nicht veröffentlicht. Es geht nicht darum Unternehmen an den Pranger zu stellen, sondern die IT-Sicherheit der versorgenden Infrastruktur in Deutschland zu gewährleisten. Der Auskunftsanspruch Dritter wird insofern eingeschränkt.

Besondere Pflichten für Telekommunikationsanbieter

Für Telekommunikationsanbieter geht das Telekommunikationsgesetzes (TKG) als spezielleres Recht vor, hier ist auch die Bundesnetzagentur (BNetzA) regelmäßig die Aufsichtsbehörde und nicht das BSI. Im Gegensatz zur bisherigen Fassung des TKG sind die Netze nicht nur zum Schutz personenbezogener Daten zu sichern, sondern auch gegen unberechtigten Zugriff, was den Schutzrahmen erweitert. Neu ist die Meldepflicht unerlaubter Zugriffe, die unverzüglich an die BNetzA gemeldet werden, die darüber – wie auch das BSI – jährlich zu berichten hat. Des Weiteren müssen Telekommunikationsanbieter Kunden informieren, wenn Störungen erkannt werden, die durch Schadprogramme auf deren datenverarbeitenden Systemen hervorgerufen wurden, sowie bei der Erkennung und Beseitigung dieser unterstützen. Bei fehlender Zuverlässigkeit bekommt die BNetzA durch den Gesetzentwurf die Befugnis, dem betreffenden Telekommunikationsanbietern den Betrieb zu untersagen.

Telemedienanbieter

Durch das Gesetz wird auch das Telemediengesetz geändert, dem alle Anbieter von Telemedien unterliegen, die also z.B. Internetseiten oder Applikationen anbieten. Diese Anbieter werden verpflichtet, sichere Authentifizierungsverfahren anzubieten.

Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Das BSI kann künftig Betreiber kritischer Infrastrukturen bei der Sicherung der Informationstechnik beraten und unterstützen. Das BSI erhält erweiterte Befugnisse bei der Prüfung von Produkten und Diensten und der öffentlichen Warnung vor diesen und im Falle unberechtigten Datenabflusses. Durch eine jährliche Berichtspflicht sollen die Warnbefugnisse des BSI klarer geregelt werden. Zudem ist das BSI künftig für die Festlegung von Sicherheitsstandards für die Informationstechnik des Bundes sowie der Prüfung branchenspezifischer Standards verantwortlich. Das BSI erhält ein Einsichtsrecht in die Audit- oder Zertifizierungsaktivitäten der betroffenen Unternehmen und eine Weisungskompetenz zur Beseitigung etwaiger Mängel.

Stärkung des Bundeskriminalamtes im Bereich Cyber-Crime

Die Rolle des BKA im Bereich Cyberkriminalität wird gestärkt bei Straftaten nach §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 263a (Computerbetrug) und 303a (Datenveränderung) des Strafgesetzbuches ausgedehnt, wenn sich diese Straftatbestände gegen die innere/äußere Sicherheit der BRD oder gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten.

Wie es möglicherweise weitergeht

Sowohl in der Politik als auch seitens der Wirtschaft gibt es erhebliche Bedenken hinsichtlich einer Überregulierung und möglicher Bürokratiekosten. Der jetzige Entwurf betrifft nur Betreiber kritischer Infrastrukturen. Interpretiert man aber die Sicht des BMI, Dr. Thomas de Maizière, kann davon ausgegangen werden, dass eine Erweiterung auf weitere Wirtschaftsbereiche wahrscheinlich ist. Dies gilt dann, wenn die Absichtserklärungen der „Digitalen Agenda“ der Bundesregierung in die Realität umgesetzt werden soll, dass Deutschland einer der sichersten digitalen Standorte weltweit bleiben soll und auf diesem Wege deutsche und europäische IT-Produkte gefördert werden sollen.  

 

 

Was Sie jetzt tun sollten:

Auch wenn Sie nicht Betreiber kritischer Infrastrukturen sind:

Im heutigen Internet-Zeitalter ist jeder Ziel von Cyber-Attacken.

Als Geschäftsführer gehört die Sicherstellung der grundlegenden Absicherung gegen IT-Risiken zu Ihren Pflichten der Geschäftsführung. Eine Vernachlässigung kann Haftungsrisiken verursachen, Ihren Versicherungsschutz gefährden und bei nicht durch Eigenkapital gedeckten Risiken das Bonitätsranking des Unternehmens nach BASEL II nachhaltig schädigen. Als IT-Leiter machen Sie sich der Fahrlässigkeit schuldig, wenn Sie bei der Geschäftsleitung nicht auf eine hinreichende IT-Sicherheit hinwirken: Es ist von IT-Fach- und Führungskräften zu erwarten, dass sie auf eigene Initiative einer ggf. nicht technisch versierten Geschäftsführung mögliche Gefährdungen darlegt und Vorschläge zur Reduzierung des Eintritts von Schäden unterbreiten. Eine Mit-Haftung im Schadensfall ist wahrscheinlich. Als IT-Mitarbeiter sind Sie verpflichtet, Ihre Führungskraft auf IT-Sicherheitslücken hinzuweisen. Ein unterlassener Hinweises auf eine entdeckte Sicherheitslücke kann als grobe Pflichtverletzung gewertet werden, weshalb es sich empfiehlt, den Hinweis schriftlich, etwa per Email, zu verfassen. Eine grobe Pflichtverletzung rechtfertigt arbeitsrechtliche Disziplinarmaßnahmen bis zur fristlosen Kündigung und persönlichen Haftung für entstandene Schäden.

 

Checken Sie Ihre Sicherheit. – Bevor es Täter tun.

Gerne sind wir mit einem Check-Up behilflich!

Kontaktieren Sie uns!

 

Für Telemedien-Anbieter: Sicherung von Authentifizierungsverfahren

Als Telemedien-Anbieter (Webseiten, Handy-Apps, etc.) trifft Sie die Pflicht zur Einrichtung sicherer Authentifizierungsverfahren. Auch wenn Sie nur eine kleine Webseite betreiben: sobald sich Nutzer dort anmelden können, sollten Sie den Einsatz von SSL-Verschlüsselungstechnik erwägen.