Mit dem IT-Sicherheitsgesetz, welches am 25.07.2015 verabschiedet wurde, wurden die Betreiber Kritischer Infrastrukturen (KRITIS) dazu verpflichtet, die Absicherung ihrer IT-Anwendungen zu verbessern um Ausfällen vorzubeugen.
In der Zwischenzeit wurden mehr und mehr Einrichtungen als zu den Kritischen Infrastrukturen zugehörig eingestuft. Das grundsätzliche Thema bleibt das gleiche. Heute wollen wir nochmals erinnern auf was es ankommt.
Was sind Kritische Infrastrukturen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versteht unter KRITIS „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Gemeint sind Anlagen und Systeme der sieben Sektoren Energie, ITK, Wasser, Ernährung, Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr. Welche genau als „kritisch“ eingeschätzt werden und ab welcher Größenordnung ein Unternehmen unter das IT-Sicherheitsgesetz fällt, regeln Rechtsverordnungen.
Wer ist von KRITIS betroffen und ab wann?
Die erste Rechtsverordnung, welche im Mai 2016 in Kraft trat, definierte die Zugehörigkeit der Sektoren Energie, ITK, Wasser und Ernährung zu den kritischen Infrastrukturen. In den folgenden Jahren wurden dann Finanz- und Versicherungswesen, der Gesundheitsbereich, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung und die Siedlungsabfallentsorgung hinzugefügt. Für die Umsetzung wurde den Unternehmen jeweils eine zweijährige Übergangsfrist zugestanden. Ab Mai 2018 mussten also Unternehmen, die „kritische“ Anlagen und Systeme in den genannten Sektoren betreiben, den Vorgaben des IT-Sicherheitsgesetzes entsprechen.
Wann ist ein Unternehmen „kritisch“?
Nicht jedes Unternehmen, das Dienstleistungen in den genannten Sektoren und Branchen erbringt, gehört automatisch zu den KRITIS-Betreibern. Es muss bestimmte Anlagen betreiben, die in den Rechtsverordnungen aufgeführt sind und zusätzlich die Schwellenwerte überschreiten. Diese errechnen sich in den meisten Fällen aus dem durchschnittlichen Bedarf von 500.000 Bürgern pro Jahr und sind ebenfalls in den Verordnungen genannt. So wird zum Beispiel als Bemessungsgrundlage für die Güterversorgung ein Bedarf von 34 Tonnen pro Person und Jahr zugrunde gelegt. Ein IT-System zur Logistiksteuerung fällt dann unter KRITIS, wenn mit ihm – 500.000 Menschen à 34 Tonnen – insgesamt 17.000.000 Tonnen Güter oder mehr im Jahr abgewickelt werden.
Solche Größenordnungen erreichen in Deutschland nur wenige Unternehmen. Dennoch kann auch ein kleineres Logistik-Unternehmen, das beispielsweise im Auftrag eines Lebensmittel-Konzerns lokale Supermärkte beliefert, von KRITIS betroffen sein und muss seine Sicherheit ausbauen. Oder es arbeitet für Unternehmen mit KRITIS-Anlagen im Gesundheitsbereich und fährt Medikamente an Apotheken aus. Es ist zu erwarten, dass Auftraggeber, die zu den KRITIS-Unternehmen gehören, die Anforderungen aus dem IT-Sicherheitsgesetz an ihre Dienstleister weitergeben. So kann das Logistik-Unternehmen, ohne selbst KRITIS-Betreiber zu sein, zur Umsetzung technischer und organisatorischer Maßnahmen und zu den entsprechenden Nachweisen verpflichtet werden, wenn es den Auftraggeber nicht verlieren will.
Was verlangt das IT-Sicherheitsgesetz von KRITIS-Unternehmen?
KRITIS-Betreiber müssen
- sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle angeben;
- dem BSI unverzüglich nach Erkennen „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse“ melden, die sich auf die Verfügbarkeit der Dienstleistungen auswirken können oder bereits ausgewirkt haben;
- organisatorische und technische Maßnahmen nach dem „Stand der Technik“ treffen, mit denen Störungen der IT-Systeme vermieden werden, die für die Funktionsfähigkeit der kritischen Infrastrukturen entscheidend sind. ;
- dem BSI im Zwei-Jahres-Rhythmus die Umsetzung des „Standes der Technik“ nachweisen, beispielsweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
Konkret wird es darauf hinauslaufen, dass die Unternehmen ein Informationssicherheits-Managementsystem entsprechend ISO 27001 einführen, Lösungen nach dem „Stand der Technik“ einsetzen und vom BSI aufgedeckte Sicherheitsmängel beseitigen müssen. KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards erarbeiten, diese vorschlagen und vom BSI prüfen lassen.
Geldbußen
Verstöße gegen das IT-Sicherheitsgesetz sind mit Bußgeldern belegt. Als Verstöße gelten:
- Vorschriften bei der Benennung der Kontaktstelle ignorieren;
- keine oder nicht ausreichende Sicherheitsmaßnahmen einrichten;
- im Fall von Sicherheitsmängeln Anordnungen des BSI nicht berücksichtigen;
- meldepflichtige Störungen nicht melden.
Falls vom BSI festgestellte Sicherheitsmängel trotz Aufforderung nicht behoben werden, kann ein Bußgeld von bis zu 100.000 Euro festgesetzt werden.
Was ist denn nun der „Stand der Technik“?
Laut BSI ist „Stand der Technik“ ein „gängiger juristischer Begriff“. Bei seiner Verwendung wird darauf verzichtet, konkrete technische Anforderungen festzulegen: Bedrohungen und Technik ändern sich kontinuierlich; die erforderlichen Maßnahmen können je nach Unternehmen und Branche unterschiedlich ausfallen. Das BSI empfiehlt daher, sich für die Bestimmung des Standes der Technik zu einem bestimmten Zeitpunkt an bestehenden nationalen oder internationalen Standards und Normen wie DIN, ISO, DKE, ISO/IEC oder an branchenspezifischen Best Practices zu orientieren.
Allen, die jetzt nicht klüger sind, hilft die Handreichung zum Stand der Technik des Bundesverbandes IT-Sicherheit e. V. – TeleTrusT. Sie ist auf das IT-Sicherheitsgesetz zugeschnitten und fordert unter anderem auch. Die Mindeststandards des BSI machen ebenfalls konkrete Angaben. Deren Umsetzung ist ein Muss für die Bundesverwaltung, sie können aber auch Unternehmen als Richtschnur dienen. Einer davon ist der „Mindeststandard für Schnittstellenkontrolle“.
Was ist zu tun?
- Ob ein Unternehmen zu den KRITIS-Betreibern gehört, muss es selbst ermitteln. Die Unternehmen der Sektoren Finanz- und Versicherungswesen, Gesundheitsbereich und Transport und Verkehr müssen jetzt also prüfen, ob sie zu den KRITIS-Unternehmen gehören. Das betrifft auch Logistik-Unternehmen, deren Dienstleistungen Transportlogistik, Umschlaglogistik und Lagerlogistik für die Bereitstellung von Gütern und Waren – auch aus anderen KRITIS-Sektoren –erforderlich und deshalb als „kritisch“ eingestuft sind. Hilfestellung für die Bestimmung der Zugehörigkeit gibt es auf den entsprechenden BSI-Seiten.
- Die Registrierung als KRITIS-Unternehmen muss innerhalb von sechs Monaten ab Inkrafttreten der Änderungsverordnung beim BSI erfolgen. Zugleich müssen die Unternehmen eine Kontaktstelle benennen. Ein Musterbeispiel, ein Registrierungsformular sowie der Link zum Melde- und Informationsportal finden sich hier.
- Nach der Registrierung erhalten die KRITIS-Unternehmen Informationen, mit denen sie ihrer Meldepflicht bei einer erheblichen Störung nachkommen können. Hier gibt es Erläuterungen zur Begriffsbestimmung von Störungen und ein Musterbeispiel für die Meldung.
Was hat KRITIS mit DLP zu tun?
Mit Lösungen für Schnittstellenkontrolle regeln Unternehmen, welche Geräte an die Computer angeschlossen und welche Daten von und zu dem Gerät übertragen werden dürfen. Häufig ist Schnittstellenkontrolle die Basis-Komponente von Lösungen für Data Loss Prevention (DLP) und wird als Teilaspekt von DLP eingesetzt. Das ist auch bei unserer Lösung Endpoint Protector der Fall. Für die Schnittstellenkontrolle enthält sie das Modul “. Es deckt sämtliche Anforderungen der Teletrust-Handreichung und des BSI-Mindeststandards plattformübergreifend ab.
Für IT-Sicherheit nach dem Stand der Technik reicht die Schnittstellenkontrolle aus. Für den Umgang mit personenbezogenen Daten verweist das IT-Sicherheitsgesetz auf die Europäische Datenschutz-Grundverordnung (DSGVO). Für deren Umsetzung ist eine erforderlich, die mittels Inhaltsprüfung Datentransfers blockiert, die unter Datenschutz-Aspekten nicht zulässig sind.
Zukunftsfähigkeit durch sinnvolle Erweiterungen
Auf der sicheren Seite sind Unternehmen, die eine modular aufgebaute DLP-Lösung mit einem breiten Funktionsspektrum einsetzen. Sie können mit der Schnittstellenüberwachung nach dem Stand der Technik einsteigen und mit wachsenden Anforderungen Verschlüsselung, Inhaltsprüfung und die Suche nach unstrukturierten Daten ergänzen. Bei einer Lösung wie Endpoint Protector können nur die Module lizenziert werden, die tatsächlich genutzt werden. Zudem werden alle Module über eine Konsole administriert, so dass Basis-Daten nur einmal eingerichtet werden müssen. KRITIS-Unternehmen, die in der Regel mehr als eine Vorgabe erfüllen müssen, erreichen mit Endpoint Protector Schnittstellenschutz nach dem IT-Sicherheitsgesetz und zugleich Datenschutz nach der DSGVO und gegebenenfalls weiteren Vorschriften.