IT-Sicherheitsgesetz 2.0
Kritisches besser schützen
Laut Verizons Data Breach Investigations Report bestehen 99,9 Prozent aller ausgenutzten Schwachstellen schon seit mindestens zwölf Monaten. Wer Schaden anrichten will, hat also leichtes Spiel. Bedrohlich wird es, wo öffentliche Einrichtungen betroffen sind, darunter Krankenhäuser, Energieversorger, Staat und Verwaltung oder Transportunternehmen. Deshalb bringt die Bundesregierung eine Überarbeitung des IT-Sicherheitsgesetzes von 2015 auf die Zielgerade des Gesetzgebungsprozesses. Kritis-Betreiber sollten nun handeln und IT-Sicherheitskonzepte auf den Weg bringen.
Ziel des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0, IT-SiG 2.0) ist kein geringeres, als die IT-Infrastruktur in Deutschland mit zur sichersten der Welt zu machen. So sind Betreiber kritischer Infrastrukturen (Kritis) bereits heute dazu verpflichtet, ein Mindestmaß an IT-Sicherheit zu gewährleisten und ihre IT-Systeme am Stand der Technik auszurichten. Branchenspezifische Sicherheitsstandards (B3S) definieren die Anforderungen dafür. Dass Kritis-Betreiber diese erfüllen, müssen sie alle zwei Jahre mittels entsprechender Formulare gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Zudem umfasst das Mindestmaß an IT-Sicherheit die Benennung eines Sicherheitsbeauftragten und die unverzügliche Meldung von Störungen an das BSI.
Die Sektoren der kritischen Infrastrukturen schließen Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie die Wasserversorgung ein. Neu kommt mit dem IT-SiG 2.0 der Bereich der Abfallwirtschaft hinzu. Außerdem führt der Gesetzgeber die neue Kategorie der „Infrastrukturen im besonderen öffentlichen Interesse“ ein. Sie umfassen die Rüstungsindustrie, die Bereiche Kultur und Medien sowie Anlagen und Systeme, deren Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden. Diese Kategorie zählt zwar nicht zu den kritischen Infrastrukturen, wird aber hinsichtlich der Verpflichtungen so behandelt.
Neue Kritis-Anforderungen
Im Wesentlichen müssen sich Kritis-Betreiber auf vier Neuerungen einstellen: Sie müssen eine Angriffserkennung einführen und den Einsatz vertrauenswürdiger Kritis-Komponenten nachweisen. Zudem sind eine drastische Erhöhung der Bußgelder und die Ausdehnung der Befugnisse des BSI zu erwarten.
Kritis-Betreiber müssen mit Inkrafttreten des IT-SiG 2.0 eine Angriffserkennung umsetzen und damit sicherstellen, dass sie neben einer Antivirenlösung und einer Firewall zusätzlich ein System implementieren, das sie automatisiert und in Echtzeit über Sicherheitsausfälle informiert. Für Kritis-Betreiber kommt dazu etwa ein IDS/IPS (Intrusion Detection/Prevention System) oder ein SIEM-System (Security-Information- und Event-Management) infrage. Dabei wird davon ausgegangen, dass relevante Daten über die Sicherheit eines Unternehmens an verschiedenen Stellen anfallen. Es ist ratsam, alle Daten zentral zu sammeln, da auf diese Weise Muster, die vom üblichen Schema abweichen, besser zu erkennen sind.
Neben den Betreibern kritischer Infrastrukturen müssen zukünftig auch Zulieferer und Hersteller von Kritis-Kernkomponenten die Standards des BSI erfüllen und dies nachweisen. Das soll sicherstellen, dass die gesamte Zuliefererkette der Kritis-Komponenten die geforderten Sicherheitskriterien erfüllt. Entsprechend der EU-DSGVO steigt das bislang maximale Bußgeld von 100.000 Euro auf 20 Millionen Euro oder vier Prozent des weltweiten Unternehmensumsatzes. Zudem wächst die Liste der Tatbestände, bei denen ein Bußgeld droht. Das BSI kann in Zukunft bereits im Verdachtsfall eines unzureichenden Schutzes öffentlicher IT-Systeme von Kritis-Betreibern eigenständig und ohne vorherige Ankündigung Maßnahmen zur Aufspürung von Sicherheitslücken umsetzen. Wie ein Angreifer kann das BSI dann in die Systeme eindringen, um die Betreiber über Risiken zu informieren.
Unter Berücksichtigung des unternehmerischen Kontextes kann selbst die minimale Umsetzung der IT-SiG 2.0-Anforderungen eine enorme wirtschaftliche Mehrbelastung für Betreiber bedeuten. Eine ressourcenschonende Variante ist es, externe Dienstleister mit der notwendigen Erfahrung und dem technischen Know-how zu beauftragen. Zunächst sollte sich jeder Betreiber die folgenden Fragen stellen: Wie ist das Unternehmen im Bereich der IT-Sicherheit aufgestellt? Sind die kritischen und systemrelevanten Prozesse bezüglich der neuen Anforderungen ausreichend abgesichert? Was ist zusätzlich erforderlich? Mit welchen Maßnahmen ist das geforderte Sicherheitsniveau zu erreichen?
Auch wenn bisher noch nicht alle Kritis-Betreiber die strengen Auflagen des BSI erfüllen müssen, ist es grundsätzlich sinnvoll, in die IT-Sicherheit zu investieren. Dabei amortisieren sich die anfallenden Kosten schnell, bedenkt man die wirtschaftlichen Schäden, die ein kritischer Vorfall nach sich ziehen würde. Zur Absicherung ihrer kritischen und systemrelevanten Prozesse sollten Kritis-Betreiber deswegen frühzeitig ein ISMS (Information-Security-Management-System) nebst Notfallplanung einführen und diese fortlaufend optimieren.
- Kritisches besser schützen
- Planen, umsetzen, prüfen, handeln
Lesen Sie mehr zum Thema
