Das neue IT-Sicherheitsgesetz

Transkript

1 Das neue IT-Sicherheitsgesetz Was Unternehmen jetzt wissen müssen Autor: Rechtsanwältin Dr. Bettina Kähler in Zusammenarbeit mit Sophos Nicht zuletzt seit den Schlagzeilen über gehackte Großkonzerne wie Sony oder Angriffe auf öffentliche Institute bis hin zum Bundestag ist jedem, der sich mit IT-Sicherheit beschäftigt klar: Mit den aktuellen Gesetzen ist der digitalen Revolution nicht mehr beizukommen. Entsprechend hat der Bundestag Mitte Juni 2015 nach mehreren Jahren Vorlauf das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet und will dadurch eine verbindliche Grundlage dafür schaffen, die Sicherheit von IT-Systemen in Deutschland zu erhöhen.

2 Als Gründe für das neue Gesetz werden unter anderem eine weiterhin angespannte IT-Sicherheitslage in Deutschland sowie Defizite im Bereich der IT-Sicherheit genannt, die es abzubauen gelte. Außerdem müsse der Schutz der Bürger im Internet verbessert werden. Ein weiteres erklärtes Ziel ist es, die Rolle des Bundeskriminalamts (BKA) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu stärken. Für wen gilt das neue Gesetz? Im Zentrum der gesetzlichen Neuregelung stehen Unternehmen, die als von zentraler Bedeutung für die Gesellschaft angesehen werden, wie beispielsweise Unternehmen aus den nachfolgend genannten Bereichen: Energie (Elektrizität, Gas, Öl, alternative Energien ) Informationstechnik und Telekommunikation Transport und Verkehr Gesundheit (Krankenhäuser, Pharmahersteller, Labore ) Wasser (Wasserversorgung und Abwasserentsorgung) Ernährung Finanz- und Versicherungswesen Welche Unternehmen allerdings genau als Kritische Infrastrukturen ( KRITIS ) gelten, wird noch per Rechtsverordnung festgelegt. Der Gesetzgeber geht von maximal Unternehmen aus, die für die Charakterisierung als KRITIS in Frage kommen. Ausgenommen sind nach derzeitigem Stand Kleinstunternehmen, d.h. Firmen mit weniger als 10 Mitarbeitern und weniger als 2 Millionen Euro Jahresumsatz. Für alle anderen Unternehmen der genannten Branchen ist es jedoch möglich, dass sie als Kritische Infrastrukturen eingeordnet werden und die neuen Anforderungen umsetzen müssen. Da kurz vor der Verabschiedung des Gesetzes der schwere Angriff auf das Computersystem des Bundestages bekannt wurde, hat der Gesetzgeber die Aufzählung der verpflichteten Stellen kurzfristig noch um Bundesbehörden erweitert. Die Unternehmen und Behörden aus diesen Bereichen werden vom IT-Sicherheitsgesetz als Kritische Infrastrukturen bezeichnet, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentlicher Sicherheit nach sich ziehen würde.

3 Welche weiteren Bereiche sind betroffen? Darüber hinaus hat das neue IT-Sicherheitsgesetz Auswirkungen auf das Telemediengesetz, das für Anbieter von Telekommunikations- und Telemediendiensten gilt. Auch für diese Unternehmen werden die Anforderungen erhöht, u.a. mit dem Ziel, die Verbreitung von Schadsoftware einzudämmen. Diese Änderungen gelten nicht nur für KRITIS-Unternehmen, sondern für alle Unternehmen, die im Sinne des Telemediengesetzes geschäftsmäßig Telemedien anbieten. Diese sind zukünftig verpflichtet u.a. sicherzustellen, dass kein unerlaubter Zugriff auf ihre IT-Systeme möglich ist und dass sie gegen den Missbrauch personenbezogener Daten und Störungen aller Art geschützt sind. Verstöße gegen diese Pflichten können mit Bußgeldern von bis zu Euro geahndet werden. Welche Auswirkungen hat das neue Gesetz? KRITIS-Unternehmen sind durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Systeme einzuhalten. Diese Anforderung hat die Entwicklung eines allgemein gültigen Informationssicherheits-Managementsystems (ISMS) im Blick, das konform zu den ISO Standards sein soll. Diese Mindeststandards müssen jedoch erst einmal entwickelt werden; zuständig dafür ist das BSI, das später dann auch die Tauglichkeit und Einhaltung der spezifischen Maßnahmen bei den und durch die Unternehmen überprüfen soll. Der Gesetzgeber hat darüber hinaus bereits einen ersten Entwurf für spezielle Anforderungen an die Informationssicherheit definiert. So werden die betroffenen Unternehmen verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Die Maßnahmen müssen angemessen sein und dem Stand der Technik entsprechen. Angemessenheit heißt in diesem Fall, dass der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur stehen darf. Bei der Definition der Angemessenheit sind zwar auch der nötige Aufwand und die damit verbundenen Kosten zu berücksichtigen. Dadurch, dass das Gesetz gerade auf den Schutz Kritischer Infrastrukturen abzielt, ist aber damit zu rechnen, dass die Anforderungen an die nötigen Schutzmaßnahmen recht hoch sein werden. Zusätzlich müssen die jeweils getroffenen Maßnahmen von den Betreibern in Sicherheits- und Notfallkonzepten niedergelegt und die Umsetzung dokumentiert werden. Für die erfahrungsgemäß arbeitsintensive Realisierung ist eine Übergangsfrist von zwei Jahren vorgesehen. Ein Verstoß gegen diese Pflichten durch die Nichtumsetzung oder die Umsetzung von Maßnahmen, die nicht dem Stand der Technik entsprechen, kann mit Bußgeldern von bis zu Euro geahndet werden.

4 Wie erfolgt die Überprüfung der betroffenen Unternehmen? Ein Sicherheitskonzept ist nie etwas Statisches und demensprechend sind KRITIS- Unternehmen mit dem neuen Gesetz verpflichtet, die Umsetzung der geforderten Sicherheitsmaßnahmen mindestens alle zwei Jahre beispielsweise durch Audits oder Zertifizierungen nachzuweisen. Die Ergebnisse müssen an das BSI gemeldet werden einschließlich möglicherweise aufgedeckter Sicherheitsmängel, deren Beseitigung das BSI im Anschluss verlangen kann. Die genaue Ausgestaltung der Audits wird dabei nicht im Gesetz geregelt, sondern soll u.a. bereits bestehende branchenspezifische Sicherheitsstandards berücksichtigen, wie beispielsweise die ISO Norm für Rechenzentren und technische Dienstleister. Dem BSI kommt mit dem IT-Sicherheitsgesetz zusätzlich die Rolle einer Art Stiftung Warentest für Informationstechnik zu. Es soll auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte, Systeme und Dienste untersuchen. Die Ergebnisse dieser Untersuchungen dürfen auch veröffentlicht werden, sofern dies für die Aufgabenerfüllung des BSI erforderlich sein sollte. Außerdem kann das BSI den Einsatz bestimmter Sicherheitsprodukte empfehlen. Mit den neuen Möglichkeiten der Untersuchung von IT-Produkten und deren möglicher Empfehlung als sicherheitsfreundlich geht im Umkehrschluss die Erlaubnis für das BSI einher, Warnungen an die Öffentlichkeit oder betroffene Kreise zu richten, wenn Sicherheitslücken, Schadprogramme oder auch Datenverluste bekannt werden. Welche Meldepflichten und Kosten kommen auf Unternehmen zu? Die oben bereits erwähnten Meldepflichten im Fall der Aufdeckung von Sicherheitsproblemen im Rahmen von Audits oder Zertifizierungen erfolgen in der Regel anonym. Für den Fall, dass ein vollständiger Systemausfall droht, muss allerdings der Name des Unternehmens an das BSI gemeldet werden. Die Nicht-Meldung solcher Sicherheitsvorfälle kann mit Strafen von bis zu Euro geahndet werden. Die zuständigen Behörden sollen auf diese Weise in die Lage versetzt werden, eine verbesserte Einschätzung der aktuellen Sicherheitslage vorzunehmen, und die Möglichkeit erhalten, andere Unternehmen vor vergleichbaren Angriffen zu warnen. Es ist davon auszugehen, dass den betroffenen Unternehmen durch das Gesetz deutliche Mehrkosten entstehen werden. Dabei hängt der finanzielle Aufwand vom erforderlichen Sicherheitsniveau in der jeweiligen Umgebung sowie vom Ist-Zustand im jeweiligen Unternehmen ab. Weiterhin entstehen Kosten für die Überprüfung und Einhaltung des Sicherheitsniveaus durch Audits und die Zertifizierung. Zusätzlich fallen durch die Meldepflichten bei Sicherheitsvorfällen weitere Kosten an. Der Branchenverband der digitalen Wirtschaft (bitkom) hat die Kosten allein für die Meldepflichten auf 1,1 Milliarden Euro geschätzt, während der Gesetzgeber lediglich von rund 9 Millionen Euro ausgeht. Was die unterschiedliche Kostenschätzung angeht, so geht der Gesetzgeber davon aus, dass pro

5 betroffenem Unternehmen rund 11 Stunden Arbeitszeit für eine Meldung investiert werden müssen, wobei insgesamt im Schnitt sieben Meldungen zu erstellen sind. Diese sind mit 60 Euro pro Stunde angesetzt, wodurch eine Summe von rund 9 Mio. Euro entsteht. Es ist davon auszugehen, dass die tatsächlichen Kosten erheblich höher sind, was auch den bitkom zu seiner Schätzung veranlasst hat, die zudem realistischer Weise auch die anderen Kosten für eine verbesserte IT-Sicherheit einrechnet. Was sollten Unternehmen jetzt tun? Abgesehen von der Tatsache, dass viele Unternehmen noch nicht genau absehen können, ob sie zu den Kritischen Infrastrukturen zählen und damit die neuen gesetzlichen Anforderungen erfüllen müssen, ist es durch die vielen offenen Formulierungen im IT- Sicherheitsgesetz eher schwierig einzuschätzen, welche Maßnahmen im Einzelfall tatsächlich gefordert sind. Hier kann eine Risikoanalyse Abhilfe schaffen, mit der Unternehmen all ihre Prozesse auf den Prüfstand stellen und unter dem Blickwinkel folgender Fragestellungen betrachten: Wo können Ausfälle vorkommen und warum? Wie können Ausfälle entstehen? Welcher Schaden droht, wenn Ausfälle eintreten? Auf der Grundlage der Ergebnisse können dann unternehmensspezifische Sicherheitsmaßnahmen festgelegt und umgesetzt werden. Eine solche Analyse und die anschließende Umsetzung von Sicherheitsmaßnahmen sind in jedem Fall lohnend und gleichzeitig ist die Grundlage für die Erfüllung der möglichen Pflichten aus dem neuen IT-Sicherheitsgesetz geschaffen. Wie können sich Unternehmen schon heute effektiv schützen Verschlüsselung stellt immer noch die beste Methode dar, personenbezogene Daten für unbefugte Personen unbrauchbar zu machen. Bei Verlust oder Diebstahl sind Daten, die im Vorfeld vor der Übertragung und/oder Speicherung verschlüsselt wurden, für jeden wertlos, der nicht über den Schlüssel verfügt. Mit dem Einsatz einer starken Verschlüsselung hat ein Unternehmen dann gleichzeitig auch einige der Anforderungen des neuen EU- Datenschutzrechts abgedeckt: Die Verletzung des Schutzes personenbezogener Daten wird von dem Entwurf der EU-Datenschutzverordnung definiert als die Vernichtung, der Verlust, die Veränderung, ob unbeabsichtigt oder widerrechtlich, oder die unbefugte Weitergabe von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. An dem Wortlaut ist unschwer erkennbar, dass Verschlüsselung vor den meisten Varianten der Verletzung des Schutzes personenbezogener Daten und damit auch vor unangenehmen Folgen schützen kann. Ebenso ist Verschlüsselung ein geeignetes Mittel, die Anforderungen in Bezug auf die von der EU-Datenschutzverordnung geforderte Folgenabschätzung und die Vorgaben zum Datenschutz durch Technik in großen Teilen zu erfüllen. Moderne Verschlüsselungstechnologien sind nicht mehr die Ressourcenfresser in der IT, als die sie oftmals noch gelten. Sie sind benutzerfreundlich und laufen unauffällig mehr oder weniger im Hintergrund, so dass Unternehmen durch ihren Einsatz nur Verbesserungen erzielen können.

6 Sophos SafeGuard Encryption SafeGuard ermöglicht eine Verschlüsselung ohne die Kompromisse der Vergangenheit. Moderne Versionen der Windows- und Mac-Betriebssysteme verfügen über integrierte Verschlüsselungsfunktionen. SafeGuard greift nach Möglichkeit auf die betriebssystemeigene Verschlüsselungsfunktionalität zurück und minimiert dadurch die Beeinträchtigung des Benutzers. Das Ergebnis: Schutz plus Leistung. Wir möchten, dass Verschlüsselung so einfach wie möglich ist: Alle Geräte werden unabhängig von der Plattform geschützt, ohne dass die Benutzer bei ihrer Arbeit gestört werden oder ihre Arbeitsweise anpassen müssen. SafeGuard folgt den Daten und schützt sie dort, wo sie gerade sind. Egal ob in der Cloud, auf Wechselmedien, in Netzwerkdateien oder auf mobilen Geräten SafeGuard ist immer dort, wo Ihre Daten sind. Einfache Verschlüsselung bedeutet auch, dass diese von der IT schnell und einfach eingeführt und verwaltet werden kann. Audit- und Reportfunktionen unterstützen die Compliance-Bemühungen, damit die IT jederzeit nachweisen kann, dass eine Datei, ein Rechner oder ein USB-Stick zum Zeitpunkt des Verlusts, Diebstahls oder Verstoßes gegen den Datenschutz verschlüsselt war. Alle diese Funktionen geben Unternehmen Sicherheit. Nur Sophos bietet Verschlüsselungsverfahren für Computer, Netzlaufwerke, Wechselmedien und in der Cloud gespeicherte Daten für Windows und Mac an über einen einzigen Agenten und eine zentrale Verwaltungskonsole. Unsere zertifizierte Verschlüsselung verhindert Datenschutzverletzungen und erleichtert die Compliance, ohne die Arbeitsabläufe zu behindern. Weitere Informationen Unter erfahren Sie, wie SafeGuard Encyption Ihr Unternehmen bei der Einhaltung der Datenschutzvorschriften unterstützen kann. Kostenlos testen Kostenlose Testversion unter Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, Server, s und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Weitere Infos unter Sales DACH (Deutschland, Österreich, Schweiz) Tel.: sales@sophos.de Oxford, GB Boston, USA Copyright Sophos Ltd. Alle Rechte vorbehalten. Eingetragen in England und Wales, Nr , The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers NP.wpde.simple