Mit dem IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), das am 25.07.2015 verabschiedet wurde, sollen die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) dazu verpflichtet werden, die Absicherung ihrer IT-Systeme zu verbessern, um Ausfällen vorzubeugen. Wer dazugehört, steht nicht im Gesetz.
Was sind Kritische Infrastrukturen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe verstehen unter KRITIS „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Gemeint sind Anlagen und Systeme der sieben Sektoren Energie, ITK, Wasser, Ernährung, Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr. Welche genau als „kritisch“ eingeschätzt werden und ab welcher Größenordnung ein Unternehmen unter das IT-Sicherheitsgesetz fällt, regeln Rechtsverordnungen.
Wer ist von KRITIS betroffen und ab wann?
Die Rechtsverordnung, die die Zugehörigkeit zu den Sektoren Energie, ITK, Wasser und Ernährung konkretisiert, ist seit Mai 2016 in Kraft. Jetzt ist auch für das Finanz- und Versicherungswesen, den Gesundheitsbereich und für Transport und Verkehr geklärt, welche Einrichtungen betroffen sind: Am 31. Mai 2017 wurde die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ veröffentlicht, am 30. Juni 2017 ist sie in Kraft getreten. Für die Umsetzung ist den Unternehmen jeweils eine zweijährige Übergangsfrist zugestanden. Ab Mai 2018 müssen also Unternehmen, die „kritische“ Anlagen und Systeme in den Sektoren Energie, ITK, Wasser und Ernährung betreiben, den Vorgaben des IT-Sicherheitsgesetzes entsprechen, im Juni 2019 läuft die Anpassungsfrist für die KRITIS-Unternehmen des Finanz- und Versicherungswesens, des Gesundheitsbereiches und des Bereiches Transport und Verkehr ab.
Wann ist ein Unternehmen „kritisch“?
Nicht jedes Unternehmen, das Dienstleistungen in den genannten Sektoren und Branchen erbringt, gehört automatisch zu den KRITIS-Betreibern. Es muss bestimmte Anlagen betreiben, die in den Rechtsverordnungen aufgeführt sind, und zusätzlich die Schwellenwerte überschreiten. Diese errechnen sich in den meisten Fällen aus dem durchschnittlichen Bedarf von 500.000 Bürgern pro Jahr und sind ebenfalls in den Verordnungen genannt. So wird zum Beispiel als Bemessungsgrundlage für die Güterversorgung ein Bedarf von 34 Tonnen pro Person und Jahr zugrunde gelegt. Ein IT-System zur Logistiksteuerung fällt dann unter KRITIS, wenn mit ihm – 500.000 Menschen à 34 Tonnen – insgesamt 17.000.000 Tonnen Güter oder mehr im Jahr abgewickelt werden.
Solche Größenordnungen erreichen in Deutschland nur wenige Unternehmen. Dennoch kann auch ein kleineres Logistik-Unternehmen, das beispielsweise im Auftrag eines Lebensmittel-Konzerns lokale Supermärkte beliefert, von KRITIS betroffen sein und seine Sicherheit ausbauen müssen. Oder es arbeitet für Unternehmen mit KRITIS-Anlagen im Gesundheitsbereich und fährt Medikamente an Apotheken aus. Es ist zu erwarten, dass Auftraggeber, die zu den KRITIS-Unternehmen gehören, die Anforderungen aus dem IT-Sicherheitsgesetz an ihre Dienstleister weitergeben. So kann das Logistik-Unternehmen, ohne selbst KRITIS-Betreiber zu sein, zur Umsetzung technischer und organisatorischer Maßnahmen und zu den entsprechenden Nachweisen verpflichtet werden, wenn es den Auftraggeber nicht verlieren will.
Was verlangt das IT-Sicherheitsgesetz von KRITIS-Unternehmen?
KRITIS-Betreiber müssen
- sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle angeben;
- dem BSI unverzüglich nach Erkennen „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse“ melden, die sich auf die Verfügbarkeit der Dienstleistungen auswirken können oder bereits ausgewirkt haben;
- organisatorische und technische Maßnahmen nach dem „Stand der Technik“ treffen, mit denen Störungen der IT-Systeme vermieden werden, die für die Funktionsfähigkeit der kritischen Infrastrukturen entscheidend sind. ;
- dem BSI im Zwei-Jahres-Rhythmus die Umsetzung des „Standes der Technik“ nachweisen, beispielsweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
Konkret wird es darauf hinauslaufen, dass die Unternehmen ein Informationssicherheits-Managementsystem entsprechend ISO 27001 einführen, Lösungen nach dem „Stand der Technik“ einsetzen und vom BSI aufgedeckte Sicherheitsmängel beseitigen müssen. KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards erarbeiten und vorschlagen und vom BSI prüfen lassen.
Geldbußen
Verstöße gegen das IT-Sicherheitsgesetz sind mit Bußgeldern belegt. Bis zu 50.000 Euro werden fällig, falls Unternehmen
- Vorschriften bei der Benennung der Kontaktstelle ignorieren;
- keine oder nicht ausreichende Sicherheitsmaßnahmen einrichten;
- im Fall von Sicherheitsmängeln Anordnungen des BSI nicht berücksichtigen;
- meldepflichtige Störungen nicht melden.
Falls vom BSI festgestellte Sicherheitsmängel trotz Aufforderung nicht behoben werden, kann das bis zu 100.000 Euro kosten.
Was ist denn nun der „Stand der Technik“?
Laut BSI ist „Stand der Technik“ ein „gängiger juristischer Begriff“. Bei seiner Verwendung wird darauf verzichtet, konkrete technische Anforderungen festzulegen: Bedrohungen und Technik ändern sich kontinuierlich; die erforderlichen Maßnahmen können je nach Unternehmen und Branche unterschiedlich ausfallen. Das BSI empfiehlt daher, sich für die Bestimmung des Standes der Technik zu einem bestimmten Zeitpunkt an bestehenden nationalen oder internationalen Standards und Normen wie DIN, ISO, DKE, ISO/IEC oder an branchenspezifischen Best Practices zu orientieren.
Allen, die jetzt nicht klüger sind, hilft die Handreichung zum Stand der Technik des Bundesverbandes IT-Sicherheit e. V. – TeleTrusT. Sie ist auf das IT-Sicherheitsgesetz zugeschnitten und fordert unter anderem auch Gerätekontrolle bzw. Schnittstellenschutz. Die Mindeststandards des BSI machen ebenfalls konkrete Angaben. Deren Umsetzung ist ein Muss für die Bundesverwaltung, sie können aber auch Unternehmen als Richtschnur dienen. Einer davon ist der „Mindeststandard für Schnittstellenkontrolle“.
Was ist zu tun?
- Ob ein Unternehmen zu den KRITIS-Betreibern gehört, muss es selbst ermitteln. Die Unternehmen der Sektoren Finanz- und Versicherungswesen, Gesundheitsbereich und Transport und Verkehr müssen jetzt also prüfen, ob sie zu den KRITIS-Unternehmen gehören. Das betrifft auch Logistik-Unternehmen, deren Dienstleistungen Transportlogistik, Umschlaglogistik und Lagerlogistik für die Bereitstellung von Gütern und Waren – auch aus anderen KRITIS-Sektoren –erforderlich und deshalb als „kritisch“ eingestuft sind. Hilfestellung für die Bestimmung der Zugehörigkeit gibt es auf den entsprechenden BSI-Seiten.
- Die Registrierung als KRITIS-Unternehmen muss innerhalb von sechs Monaten ab Inkrafttreten der Änderungsverordnung beim BSI erfolgen, also bis Ende des Jahres. Zugleich müssen die Unternehmen eine Kontaktstelle benennen. Ein Musterbeispiel, ein Registrierungsformular sowie der Link zum Melde- und Informationsportal finden sich hier.
- Nach der Registrierung erhalten die KRITIS-Unternehmen Informationen, mit denen sie ihrer Meldepflicht bei einer erheblichen Störung nachkommen können. Hier gibt es Erläuterungen zur Begriffsbestimmung von Störungen und ein Musterbeispiel für die Meldung.
- Bis Juni 2018 müssen die KRITIS-Unternehmen der Sektoren Finanz- und Versicherungswesen, Gesundheitsbereich und Transport und Verkehr IT-Sicherheit dem Stand der Technik entsprechend umgesetzt haben. Schnittstellenkontrolle gehört dazu.
Was hat KRITIS mit DLP zu tun?
Mit Lösungen für Schnittstellenkontrolle regeln Unternehmen, welche Geräte an die Computer angeschlossen und welche Daten von und zu dem Gerät übertragen werden dürfen. Häufig ist Schnittstellenkontrolle die Basis-Komponente von Lösungen für Data Loss Prevention (DLP) und wird als Teilaspekt von DLP eingesetzt. Das ist auch bei unserer Lösung Endpoint Protector der Fall. Für die Schnittstellenkontrolle enthält sie das Modul „Device Control“. Es deckt sämtliche Anforderungen der Teletrust-Handreichung und des BSI-Mindeststandards plattformübergreifend ab.
Für IT-Sicherheit nach dem Stand der Technik reicht die Schnittstellenkontrolle aus. Für den Umgang mit personenbezogenen Daten verweist das IT-Sicherheitsgesetz aktuell noch auf das Bundesdatenschutzgesetz, künftig ist die Europäische Datenschutz-Grundverordnung (DSGVO) maßgeblich. Für deren Umsetzung ist eine DLP-Lösung erforderlich, die mittels Inhaltsprüfung Datentransfers blockiert, die unter Datenschutz-Aspekten nicht zulässig sind.
Zukunftsfähigkeit durch sinnvolle Erweiterungen
Auf der sicheren Seite sind Unternehmen, die eine modular aufgebaute DLP-Lösung mit einem breiten Funktionsspektrum einsetzen. Sie können mit der Schnittstellenüberwachung nach dem Stand der Technik einsteigen und mit wachsenden Anforderungen Verschlüsselung, Inhaltsprüfung und die Suche nach unstrukturierten Daten sowie Mobile Device Management ergänzen. Bei einer Lösung wie Endpoint Protector müssen nur die Module bezahlt werden, die tatsächlich genutzt werden. Zudem werden alle Module über eine Konsole administriert, so dass Basis-Daten nur einmal eingerichtet werden müssen. KRITIS-Unternehmen, die in der Regel mehr als eine Vorgabe erfüllen müssen, erreichen mit Endpoint Protector Schnittstellenschutz nach dem IT-Sicherheitsgesetz und zugleich Datenschutz nach der DSGVO und gegebenenfalls weiteren Vorschriften.