Die Folgen des IT-Sicherheitsgesetzes

Betreiber von kritischen Infrastrukturen müssen aufrüsten

16.06.2015 von Michael Rath, Simone Bach und Christian Kuss  
Vor ein paar Tagen hat der Bundestag das IT-Sicherheitsgesetz beschlossen. Durch das neue Gesetz entstehen für Betreiber kritischer Infrastrukturen neue Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten.

Der Cyberangriff auf den Bundestag in den vergangenen Wochen zeigt deutlich, dass öffentliche Einrichtungen und Unternehmen in Deutschland immer wieder Opfer von Cyberangriffen sind. Durch Trojaner, Viren und andere Schadsoftware wird die IT-Infrastruktur infiltriert, ausgespäht oder manipuliert. Cyberangriffe können auf diese Weise insbesondere auch Anlagen und Systeme, die für die Allgemeinheit von erheblicher Bedeutung sind, empfindlich beeinträchtigen, wie die Stromnetze, das Gesundheitssystem oder die Lebensmittelversorgung. Die Bundesregierung und der Bundestag möchten solch kritischen Infrastrukturen deshalb besser als bisher vor den Gefahren von Cyberangriffen schützen.

Betreiber von kritischen Infrastrukturen erwarten Bußgelder in Höhe von bis zu 100.000 Euro, sollten sie sich künftig nicht an die gesetzlichen Vorgaben halten.
Foto: M. Schuppich - Fotolia.com

Zu diesem Zweck hat die Bundesregierung bereits im März 2013 mit einem Entwurf für ein IT-Sicherheitsgesetz die Diskussion über die Einführung von Maßnahmen zum Schutz gegen Cyberangriffe angestoßen. Der Gesetzesentwurf ist kontrovers diskutiert worden. Kritik äußerten insbesondere IT-Sicherheitsfachleute, Juristen und Datenschützer. Ihre Argumente wurden jedoch nur teilweise im Gesetzestext berücksichtigt. Heute hat der Bundestag den Gesetzesentwurf beschlossen. Mitte Juli muss noch der Bundesrat zustimmen.

Adressatenkreis

Um den Schutz kritischer Infrastrukturen zu verbessern, sieht das Gesetz eine Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie Meldepflichten im Fall von Cyberangriffen vor. Diese Pflichten richten sich an die Betreiber kritischer Infrastrukturen. Allerdings lässt der Gesetzesentwurf offen, wer ein solcher Betreiber einer kritischen Infrastruktur ist.

Der Entwurf enthält lediglich zwei Kriterien, anhand derer der Adressatenkreis bestimmt werden soll:

Erfasst sind danach die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Zudem sollen Einrichtungen und Anlagen aus diesen Sektoren nur dann als kritische Infrastruktur einzustufen sein, wenn ein Ausfall oder eine Beeinträchtigung dazu führt, dass es zu erheblichen Versorgungsengpässen oder zu einer Gefährdung der öffentlichen Sicherheit kommen könnte.

Da diese abstrakt formulierten Kriterien in der Praxis wenig hilfreich sind, sollen die kritischen Infrastrukturen durch eine Rechtsverordnung näher bestimmt werden. Für Unternehmen in den betroffenen Sektoren bedeutet dies jedenfalls, dass erst mit Erlass der Rechtsverordnung eindeutig feststeht, ob sie von den neuen Maßnahmen betroffen sind.

Ausgaben für Sicherheitssoftware in Deutschland von 2012 bis 2015
Sicherheitssegment
Ausgaben für Sicherheitssoftware nach ausgewählten geografischen Regionen von 2012 – 2018

Organisatorische und technische Schutzmaßnahmen

Das Gesetz legt noch nicht genau fest, welche technischen Maßnahmen zukünftig konkret zu ergreifen sind, um kritische Infrastrukturen vor Cyberangriffen zu schützen. Im Gesetzeswortlaut heißt es, dass die Betreiber kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, zu treffen haben.

Welche Maßnahmen angemessen sind und dem Stand der Technik entsprechen, kann von Fall zu Fall unterschiedlich zu beurteilen sein. Erste Vorschläge für konkrete Maßnahmen können jedoch schon jetzt der Gesetzesbegründung entnommen werden. Darin wird beispielsweise die Abschottung besonders kritischer Prozesse von den öffentlichen Telekommunikationsnetzen genannt. Zudem finden sich vermehrt Hinweise auf die ISO-Normen, allen voran dem ISO-27001-Standard. Deshalb liegt auch angesichts des Entwurfes der Bundesnetzagentur die Vermutung nahe, dass Betreiber kritischer Infrastrukturen zukünftig ein Informationssicherheitsmanagementsystem (ISMS) einführen und gemäß ISO 27001 zertifizieren müssen.

Das Gesetz sieht zudem vor, dass innerhalb der verschiedenen Branchen konkrete Branchenstandards entwickelt werden können, die konkrete Schutzmaßnahmen vorschreiben. Das BSI prüft die Branchenstandards und stellt fest, ob diese ausreichende Sicherheit gewährleisten. Die Betreiber kritischer Infrastrukturen müssen die Mindestmaßnahmen zwei Jahre nach Erlass der Rechtsverordnung eingeführt haben.

Sonstige Pflichten

Die Betreiber kritischer Infrastrukturen müssen mindestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie ausreichende Schutzmaßnahmen ergriffen haben. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt werden. Zudem müssen etwaige Sicherheitsmängel benannt werden.

Die Betreiber Kritischer Infrastrukturen müssen dem BSI zudem eine Kontaktstelle benennen. Über die Kontaktstelle soll die Kommunikation mit dem BSI geführt werden. Deshalb fordert das Gesetz, dass die Betreiber darüber jederzeit erreichbar sind. Für die Unternehmen bedeutet dies, eine 24/7 Erreichbarkeit sicher zu stellen. Hierfür haben die Betreiber bis sechs Monate nach Inkrafttreten der Rechtsverordnung Zeit.

Kommt es zu einer erheblich Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse, und kommt es dadurch zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur, müssen die Betreiber unverzüglich das BSI informieren. Die Information soll über die Kontaktstelle abgesetzt werden.

Die Informationspflicht besteht aber nicht erst dann, wenn die Funktionsfähigkeit der Kritischen Infrastruktur tatsächlich beeinträchtigt ist. Nach dem Grundsatz "Im Zweifel Meldung" sieht das Gesetz die Informationspflicht bereits dann vor, wenn die Funktionsfähigkeit der Kritischen Infrastruktur beeinträchtigt. Allerdings soll nur bei einer tatsächlichen Störung auch der Betreiber benannt werden. In den anderen Fällen kann die Meldung anonym erfolgen.

Geldbußen

Wenn Betreiber kritischer Infrastrukturen entgegen der Vorgaben des Gesetzes keine angemessenen technischen und organisatorischen Maßnahmen zur Vermeidung von Störungen implementieren, kann ein Bußgeld von bis zu 100.000 Euro verhängt werden.

Ebenfalls bußgeldbewährt ist der Fall, dass Sicherheitspannen nicht ordnungsgemäß gemeldet werden. In diesem Fall droht ein Bußgeld von bis zu 50.000 Euro.

Sicherheitsrisiko Apps
Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte.
Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden.
Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist.
Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar.
Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln.
Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert.
Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt.
Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google.
Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.

Die nächsten Schritte

Bis zum Erlass der Rechtsverordnung besteht eine erhebliche Unsicherheit darüber, welche Unternehmen nunmehr als Betreiber Kritischer Infrastrukturen zu klassifizieren sind. Alle Unternehmen, die sich potenziell im Anwendungsbereich des Gesetzes wähnen, sollten jedoch frühzeitig beginnen, die eigenen Schutzmaßnahmen kritisch zu hinterfragen und gegebenenfalls zusätzliche Maßnahmen zu ergreifen. Denn sobald die Rechtsverordnung erlassen wird, ist der Umsetzungszeitraum von zwei Jahren, zum Beispiel für die Einführung und Zertifizierung eines ISMS nach ISO 27001, knapp bemessen.

Ferner werden auch Unternehmen außerhalb der betroffenen Sektoren beziehungsweise unterhalb der Schwellwerte mittelbar von den Vorgaben des IT-Sicherheitsgesetzes betroffen sein. Da das Gesetz nur Mindestmaßnahmen vorschreibt, können sich diese Maßnahmen zu einem generellen de facto-Standard weiterentwickeln und auch auf andere Sektoren ausstrahlen.
Unternehmen, die massiv von den Vorgaben abweichen, werden dann erklären müssen, warum sie keine vergleichbaren Schutzmaßnahmen ergriffen haben. Eine nur unzureichende Begründung für das Unterlassen angemessener Schutzmaßnahmen kann dann gegebenenfalls zu einer Haftung des Unternehmens führen. (bw)

Teaserbild: fotogestoeber_shutterstock.com