Security-Pflichten im Unternehmen

Das geplante IT-Sicherheitsgesetz und seine Folgen

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Die Bundesregierung will kritische Infrastrukturen wie Energie- und Telekommunikationsnetze besser vor Cyberangriffen schützen. Im Raum steht ein IT-Sicherheitsgesetz, das Unternehmen diverse Pflichten auferlegt. Was heißt das konkret?

Über die Gefahren, die bei mangelnder IT-Sicherheit bestehen, wird täglich ausführlich berichtet. Und es gibt reichlich IT-Sicherheitsprodukte, angefangen von DLP (Data Loss Prevention) über NGF (Next Generation Firewalls) bis zu Endpoint Protection (EP) und SIEMs (Security Information and Event Management). Trotzdem werden gerade gezielte Cyber-Spionage-Angriffe ("Advanced Persistant Threats") erst nach Monaten überhaupt entdeckt (der Durchschnitt liegt laut Verizon Breach Report von 2013 bei 243 Tagen). Die Komplexität dieser Angriffe wurde jüngst durch die "DarkHotel"-Angriffe verdeutlicht.

Um das Risiko, Opfer eines solchen Angriffs zu werden, und um die Folgen eines solchen Angriffs aufzufangen, ist der Gesetzgeber aktiv geworden. Ein IT-Sicherheitsgesetz soll die notwendige IT-Securityfür für kritische Infrastrukturen gesetzlich verordnen. Kritische Infrastrukturen sind in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu finden. Der deutsche Gesetzgeber zieht den Anwendungsbereich damit weiter, als dieser in der zugrundeliegenden europäischen NIS-Richtlinie vorgesehen ist.

Vor allem die Anbieter von Informationstechnik sind nun ausdrücklich vom Anwendungsbereich erfasst. Sie werden deshalb in zweifacher Hinsicht von dem neuen Gesetz berührt: als Dienstleister für Unternehmen aus den relevanten Sektoren müssen sie – aufgrund vertraglicher Übereinkunft mit ihren Kunden – die sektorspezifischen Anforderungen, beispielsweise aus den Bereichen Energie oder Finanzwesen erfüllen. Gleichzeitig werden sie als Betreiber Kritischer Infrastrukturen (KI-Betreiber) eingestuft, sodass sie aus diesem Grund die sektorspezifischen Vorgaben für IT-Dienstleister umsetzen müssen.

Wer ist konkret betroffen?

Einzelheiten zum Anwendungsbereich und zum Adressatenkreis werden in einer Rechtsverordnung festgelegt. Die Gesetzesbegründung führt dazu aus, dass die Rechtsverordnung qualitativ bestimmte Leistungen als kritisch einstuft und zudem Schwellenwerte festlegt. Dies ist misslich. Denn aus dem Gesetz lässt nicht entnehmen, welche Unternehmen von dem neuen Gesetz betroffen sein werden. Insbesondere mittelständische Unternehmen werden erst nach Erlass der Rechtsverordnung Rechtssicherheit erhalten.

Das geplante IT-Sicherheitsgesetz bedarf an einigen Stellen noch einer Klarstellung.
Das geplante IT-Sicherheitsgesetz bedarf an einigen Stellen noch einer Klarstellung.
Foto: Kzenon - Shutterstock.com

Inhaltlich verpflichtet das Gesetz Unternehmen dazu, einen Mindeststandard an IT-Sicherheitsmaßnahmen einzuführen. Wie genau dieser Mindeststandard aussehen soll, ist derzeit noch nicht klar. Der Mindeststandard soll im Nachgang durch ein Expertengremium ermittelt werden. Aktuell spricht viel dafür, dass sich der Mindeststandard an den Vorgaben der ISO-Normen und des BSI-Grundschutzes orientieren wird. Die Einhaltung des Mindeststandards muss regelmäßig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden.

Anonym oder nicht?

Ferner sieht das Gesetz eine Pflicht zur Meldung von Cyber-Security-Incidents vor. Bereits bei einer potenziellen Bedrohung für die Kritische Infrastruktur muss eine Meldung an das BSI erfolgen, wobei hier der Name des KI-Betreibers nicht genannt werden muss. Kommt es aber zu einer tatsächlichen Beeinträchtigung, ist der KI-Betreiber namentlich zu nennen.

Der aktuelle Vorschlag des Gesetzes führt über eine Änderung des Telemediengesetzes die Vorratsdatenspeicherung wieder "durch die Hintertür" ein. Die Vorratsdatenspeicherung, ursprünglice als Pflicht von Telekommunikationsanbietern vorgesehen, wurde bekanntlich durch das Bundesverfassungsgericht für grundrechtswidrig und damit unzulässig erklärt. Der neue Vorstoß verpflichtet die Betreiber von Telemedien, insbesondere also die Betreiber von Web-Seiten, dennoch wieder zur anlasslosen Speicherung von IP-Adressen für einen Zeitraum von sechs Monaten. Dies steht im Widerspruch zu den Vorgaben des Bundesverfassungsgerichtsurteils. Da die Diskussion insoweit erst begonnen hat, bleibt abzuwarten, ob und inwieweit dieser Vorschlag letztlich verabschiedet werden wird.

Compliance-Anforderungen

Das IT-Sicherheitsgesetz entsteht nicht auf der grünen Wiese. Schon jetzt mangelt es nicht an regulatorischen Anforderungen in Bezug auf IT-Compliance und IT-Security. Man kann diese jedoch auf einige wesentliche Maßnahmen der IT-Sicherheit beschränken und dadurch bei konsequenter Umsetzung schon ein hohes Compliance-Niveau erreichen. Entsprechend dem Detaillierungsgrad der unternehmensspezifischen Anforderungen müssen diese Anforderungen dann gegebenenfalss in Teilstücken weiter ausgebaut werden. Auch sind regulatorische Interessenskonflikte zu lösen, denn die ausführlichen Logfiles bei der Deep Packet Inspection eines SIEM stehen oft nicht in Einklang mit geltendem Datenschutzrecht.

Für eine wirtschaftliche Umsetzung der Anforderungen ("Return of Security Investment") ist es mithin erforderlich, auf Basis der Ergebnisse einer Risikoanalyse die notwendigen Themen zu implementieren. Dies sollte in einer Organisation mit einheitlicher Dokumentation und unter Nutzung spezieller miteinander verbundener (gemappter) Standards erfolgen (beispielsweise COBIT, UCF). Was aber müssen Unternehmen wirklich tun? Es kann sich insofern auch für Unternehmen der Privatwirtschaft lohnen, sich an den soogenannten "Basismaßnahmen der Cyber-Sicherheit" des BSI zu orientieren. In dem 11-seitigen Papier gibt es auch eine Checkliste, die allerdings für IT-Sicherheitsexperten oft trivial, dagegen für die Unternehmensleitung ohne Hilfe von Experten kaum verständlich sein wird. Wichtig ist es daher, zur Erreichung der notwendigen IT-Compliance und IT-Sicherheit ein multidisziplinäres Team vorzusehen. Dann kann auch die Geschäftsführung sicher sein, das Richtige zum Schutz des Unternehmens getan zu haben. (sh)

Im Folgenden haben wir die zehn wesentlichen Bereiche der IT-Compliance noch einmal kurz und übersichtlich zusammengestellt:

Zur Startseite