Das neue IT-Sicherheitsgesetz – Wen betrifft es?

Die Bundesregierung hat am 17. Dezember 2014 den Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz – IT-SiG) beschlossen. Es ist anzunehmen, dass dieses Gesetz noch in diesem Jahr in Kraft tritt.

Der bereits überarbeitete Gesetzentwurf definiert Anforderungen an die IT-Sicherheit kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind. Wer davon betroffen sein wird und mit welchen Auswirkungen stellen wir Ihnen heute schon einmal vor.

Das IT-Sicherheitsgesetz ist ein geplantes Gesetzesvorhaben der deutschen Bundesregierung und resultiert nach Angaben des Bundesinnenministeriums aus der im Februar 2011 beschlossenen Cyber-Sicherheitsstrategie. Zwar gibt es in Deutschland bereits mit der Allianz für Cyber-Sicherheit ein auf Freiwilligkeit beruhendes Verfahren zur Meldung von IT-Sicherheitsvorfällen der Wirtschaft. Mit dem IT-Sicherheitsgesetz sollen diese nun aber für alle Betreiber kritischer Infrastrukturen gesetzlich vorgeschrieben werden.

Für wen gilt das neue Gesetz?

Allgemein zählen zu den kritischen Infrastrukturen Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zur Spezifizierung erfolgt eine Einteilung in Sektoren und zusätzlich in Branchen.

1. SEKTOR ENERGIE

  • Stromversorgung (Branche: Elektrizität)
  • Versorgung mit Erdgas (Branche: Gas)
  • Versorgung mit Mineralöl (Branche: Mineralöl)

2. SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION

  • Sprach- und Datenkommunikation (Branchen: Telekommunikation, Informationstechnik)
  • Verarbeitung und Speicherung von Daten (Branche: Informationstechnik)

3. SEKTOR TRANSPORT UND VERKEHR

  • Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Transport von Personen im Nahbereich (Branchen: Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Transport von Personen im Fernbereich (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

4. SEKTOR GESUNDHEIT

  • Medizinische Versorgung (Branchen: medizinische Versorgung, Labore)
  • Versorgung mit Arzneimitteln und Medizinprodukten (Branchen: medizinische Versorgung, Labore, Arzneimittel und Impfstoffe)

5. SEKTOR WASSER

  • Trinkwasserversorgung (Branche: öffentliche Wasserversorgung)
  • Abwasserbeseitigung (Branche: öffentliche Abwasserbeseitigung)

6. SEKTOR ERNÄHRUNG

  • Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmittelhandel)

7. SEKTOR FINANZ- UND VERSICHERUNGSWESEN

  • Zahlungsverkehr, Zahlungsdienstleistungen, Zahlungskarten und E-Geld (Branchen: Banken, Finanzdienstleister)
  • Bargeldversorgung (Branche: Banken)
  • Kreditvergabe (Branche: Banken, Finanzdienstleister)
  • Geld- und Devisenhandel (Branche: Börsen, Banken, Zahlungsdienstleister)
  • Wertpapier- und Derivatehandel (Branche: Börsen, Banken, Zahlungsdienstleister)
  • Versicherungsleistungen (Branche: Versicherungen)
    (Quelle Entwurf zum IT-Sicherheitsgesetz 08.12.2014)

Darüber hinaus beschreibt der Entwurf eine Konkretisierung des Geltungsbereichs nach den Kategorien Qualität und Quantität. Demnach ist die Frage zu beantworten, ob erstens mittels der jeweiligen Einrichtungen, Anlagen oder Teile davon eine für die Gesellschaft kritische Dienstleistung erbracht wird (Qualität) und zweitens ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens hätte (Quantität).

Ziel ist die Verbesserung von IT-Sicherheit

Das Hauptziel des Gesetzes ist eine landesweite signifikante Verbesserung der Sicherheit informationstechnischer Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität. Um diese Ziele zu erreichen definiert das IT-Sicherheitsgesetz für Betreibern kritischer Infrastrukturen einige verbindliche Verpflichtungen. Zu den Kernanforderungen zählen:

  • Die Verpflichtung zur Einhaltung von Mindeststandards im Bereich IT-Sicherheit.
  • Die Verpflichtung mindestens alle zwei Jahre ein Sicherheitsaudit durchzuführen, um die organisatorischen und technischen Vorkehrungen zur IT-Sicherheit überprüfen zu lassen.
  • Die Verpflichtung zur Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI wiederum wird verpflichtet, die eingehenden Meldungen über Cyberattacken auszuwerten, Angriffsmuster auszumachen und potenziell gefährdete Unternehmen vor drohenden Übergriffen zu warnen.

Darüber hinaus werden besondere Anforderungen für Telekommunikationsanbieter und Anbieter für Dienste nach dem Telemediengesetz definiert. Diese sollen IT-Sicherheit nach dem Stand der Technik nicht nur wie bisher zum Vertraulichkeitsschutz und zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur gewährleisten. Und auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. Internet- oder E-Mail-Anbieter etwa sollen verpflichtet werden, ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen. Dass sich aus all diesen Anforderungen auch zum Teil weitreichende Anforderungen an die Dokumentation ableiten, kann kaum verwundern.

Noch nicht in trockenen Tüchern

Sowohl in der öffentlichen Debatte als auch innerhalb der Bundesregierung wurde vor allem der erste Entwurf nach seiner Veröffentlichung 2013 von vielen Stellen kritisiert. Vorallem die weitreichenden Meldepflichten stießen nicht nur bei den Datenschutzbeauftragten auf Kritik.  Aus Angst vor Ansehensverlust sind Unternehmen verständlicherweise zurückhaltend mit öffentlichen Meldungen darüber, dass sie Opfer eines Hackerangriffes geworden sind. Mit dem veränderten Entwurf aus 2014 hat die Bundesregierung darauf reagiert und ermöglicht unter bestimmten Umständen anonyme Meldungen. Nur bei umfassenden Störungen bzw. Ausfällen sollen demnach Betreiber kritischer Infrastrukturen zur namentlichen Meldung verpflichtet werden.

Auf Kritik stoßen aber auch die nach Ansicht der Industrie unzureichenden Definitionen und fehlenden Präzisierungen im neuen Entwurf. Dies betrifft vor allem die Frage des genauen Anwendungsbereichs (welche Unternehmen fallen unter die Regelungen, insbesondere unter die vorgesehenen Meldepflichten?) Zum jetzigen Zeitpunkt ist noch keine eindeutige Identifikation der betroffenen Unternehmen und Telekommunikationsdienstleister möglich. Der Entwurf benennt nur die Sektoren und die diesen zugeordneten Branchen. Konkrete Kriterien wurden bisher allerdings noch nicht veröffentlicht. Hier bleibt abzuwarten wie die jeweils maßgeblichen Schwellenwerte pro Sektor/Branche bzw. Dienstleistung aussehen werden. Aber auch die wenig konkreten Verpflichtungen zur Einhaltung von Mindeststandards führen zu Verunsicherungen. Diese müssen gemäß dem Gesetzesentwurf dem “Stand der Technik” entsprechen, ohne aber dass genauere Vorgaben gemacht werden.

Bemängelt werden auch erneut die vermuteten hohen Bürokratiekosten, die den Unternehmen vor allem durch die regelmäßigen Auditierungen und durch die Meldepflichten voraussichtlich entstehen werden. Es bleibt daher abzuwarten, ob und welche Nachbesserungen und Konkretisierungen des aktuellen Entwurfs es noch bis zur Verabschiedung des Gesetzes (möglicherweise auch in separaten Ausführungsbestimmungen) geben wird. Wir werden Sie dazu in unserem Blog auf dem laufenden halten.

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.