Eine (traditionelle) Komödie zur Informationssicherheit

Transkript

1 Das IT-SiG Ist endlich alles klar? Eine (traditionelle) Komödie zur Informationssicherheit Gerald Spyra, LL.M. Kanzlei Spyra 1

2 Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die Informationssicherheit (IT-Sicherheit) Spezialisiert auf den Informations- / Datenschutz, das Software-Medizinprodukterecht und die IT-Forensik Externer betrieblicher Datenschutzbeauftragter 2

3 Wieso Komödie? Wenn man sich näher mit dem IT-SiG beschäftigt und den Umgang mit diesem in der Praxis betrachtet, gleicht es einer (traditionellen) Komödie Begriff der (traditionellen) Komödie, frei nach Wikipedia: Drama mit erheiternder Handlung, das in der Regel glücklich endet; soll belustigen, aber zugleich auch auf kritische Aspekte hinweisen ; Zuschauer können sich mit Protagonisten identifizieren, weil sie sich in ihnen selber erkennen oder sie belächeln sie, weil diese Schwächen besitzen, die sie (natürlich) nicht haben... Und wie sieht die IT-SiG Komödie nun aus? 3

4 Der Umgang mit dem IT-SiG Erster Akt Eine Firma in Deutschland - Ähnlichkeiten sind rein zufällig! (Vorhang geht auf) Oh, es gibt nun ein IT-Sicherheits- GESETZ (PANIK bricht aus)! Das GESETZ betrifft besonders die IT-Sicherheit Die müssen wir doch auch haben (Schlussfolgerung) Weil wir IT-Sicherheit ja haben müssen, gilt das GESETZ doch auch für uns (Noch mehr Panik bricht aus) Schauen wir uns mal genau an, was die Politiker wieder von uns wollen. 4

5 Zweite Akt (Nach kurzem, wilden Blättern in Gesetzen) Öööhm, kleine Frage, wo finde ich das IT- Sicherheitsgesetz eigentlich? (Viele Google-Suchen später) Häää, ist das gar kein richtiges Gesetz? (Nach kurzem Überfliegen des Gesetzes ) Sind das echt nur die paar Artikel??? (Schlussfolgerung) Dann kann das ja alles nicht so schlimm sein Das kriegen wir schon mit unserer vor Kurzem angeschafften (Next-Generation-) Firewall und (Next- Generation-) Antivirenscanner hin 5

6 Dritte Akt (Nach weiterer Lektüre des IT-SiG) Hmm, da steht ja was von kritischen Infrastrukturen Das sind wohl die, die die Daseinsvorsorge betreffen und der Bevölkerung wichtige Dienste erbringen. (Kurzes Nachdenken) Wir gehören ja auch zu einer Branche, die etwas für die Bevölkerung tut Fallen wir da jetzt doch drunter? Öhmm weiß nicht (Nach längerem Überlegen, Telefonieren und en) Hmm, höchstwahrscheinlich, eigentlich nicht. (Entscheidungsfindung) Müssen wir einfach mal abwarten was Heise da schreibt 6

7 Vierte Akt Ah da kommen noch Verordnungen, die Klarheit bringen sollen Dann warten wir mal ab (es passiert nichts ) (Nach Lesen der entsprechenden Verordnung) 1. Alternative: Gut da fallen wir nicht drunter, dann müssen wir ja auch nichts machen (und ignorieren das Gesetz von nun an) 2. Alternative: (PANIK bricht aus) Wir fallen da drunter! Was sollen wir tun? Oh da steht was von Nachweis der Sicherheit erbringen Dann mal gleich eine ISO beantragen... (Vorhang fällt!) Was will uns der Autor mit dieser Komödie sagen? 7

8 Was will uns der Autor sagen? IT-Sicherheit ist nur ganz schwer greifbar. IT- Sicherheit glaubt man oftmals (nur technisch) mit Firewalls, Antivirenscannern oder Zertifizierungen ausreichend zu leisten Unternehmen haben ein ambivalentes Verhältnis zur IT- Sicherheit: wird als etwas Notwendiges aber sehr Lästiges angesehen wird als etwas angesehen, das am besten nur die anderen betrifft (wer ist denn eigentlich verantwortlich?) muss man ja nur leisten, wenn man gesetzlich dazu verpflichtet wird, Es herrscht daher alles andere als Klarheit hinsichtlich des Wesens und des Umgangs mit Informationssicherheit und dem IT-SiG 8

9 Das IT-SiG Das IT-SiG ist ein sog. Artikelgesetz. Es ändert / ergänzt bestehende Gesetze durch Regelungen, um bei kritischen Infrastrukturen / relevante Strukturen des Daseinsvorsorge Sicherheit zu schaffen, wie das: BSI-Gesetz (BSIG); Atom-Gesetz (AtomG); Energiewirtschaftsgesetz (EnwG); Bundeskriminalamtsgesetz (BKAG); Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG). Das IT-SiG bezieht sich primär auf ganz bestimmte Betreiber / Bereiche. 9

10 Die Adressaten des IT-SiG Das IT-SiG richtet sich primär an Betreiber von KRITIS und von Telekommunikations- und Telemediendiensten! Die KRITIS-Betreiber nehmen im Bereich der Daseinsvorsorge und des täglichen Lebens eine herausragende Stellung ein und versorgen eine Vielzahl von Bürgern oder nehmen einen großen Anteil der Versorgung wahr ( er Regel)! Klarheit, wer Betreiber von KRITIS ist, sollen Verordnungen bringen die erste für die Energie-, Wasser-, IT- und TK-Anbieter ist nun veröffentlicht. Die vom IT-SiG angesprochenen Betreiber müssen eine ausreichende Sicherheit gewährleisten (auch Webseitenbetreiber!!!)

11 Die Anforderungen an KRITIS-Betreiber Um einen einheitlichen Schutzstandard bei KRITIS zu erreichen, müssen alle Betreiber, die vom IT-SiG bzw. der entsprechenden Verordnung erfasst werden, gewisse (kostspielige) Anforderungen erfüllen. Hierunter fallen insbesondere: Die Durchführung von Risikomanagement, die Einhaltung und die Prüfung (Nachweis) von Mindestanforderungen an die IT-Sicherheit entsprechend des Stands der Technik, die unverzügliche Meldung von relevanten / erheblichen IT-Sicherheitsvorfällen an das BSI,

12 Was ist nicht klar beim IT-SiG? Wir wissen noch nicht, welche Unternehmen der vom IT-SiG genannten Branchen wirklich darunter zählen. Ferner wissen wir nicht, was diese Unternehmen eigentlich alles tun müssen, um die Anforderungen des IT-SiG zu erfüllen. Wir wissen auch nicht, was diejenigen Unternehmen unternehmen müssen, die nicht (primär) unter das IT- SiG fallen Wir wissen auch noch nicht, welche Auswirkungen die EU-Sicherheits-Richtlinie (NIS) haben wird. Und was ist nun klar? 12

13 Was ist klar? Wir wissen, dass wir etwas im Bereich IT-Sicherheit tun müssen Wir wissen nun, dass grundsätzlich die er Regelung auf die Definition von KRITIS Anwendung findet. Wir wissen, dass es eine Meldepflicht gibt und bisher ganze sieben Angriffe gemeldet wurden (Deutschlands IT-Teflonpanzer ) Frei nach Sokrates: Wir wissen also, dass wir nicht(s) so wirklich wissen (auch hinsichtlich der IT-Sicherheit) 13

14 Kurze Bemerkungen zur IT-Sicherheit (1) Informationssicherheit ist eine hochkomplexe rechtliche, technische, organisatorische, ökonomische, gesellschaftliche, psychologische, Herausforderung. Es gibt dabei keine one size fit all - Lösung (der Einzelfall zählt). Das Recht selber, kann immer nur einen Rahmen schaffen Es existieren mannigfaltige Gesetze zum Schutz von Daten / IT 14

15 Kurze Bemerkungen zur IT-Sicherheit (2) Durch die Vernetzung und den Einsatz von smarter IT, entsteht eine immer schwerer zu beherrschende Komplexität und Intransparenz. Hersteller sind für ihre Software meistens nicht so wirklich haftbar (Software kann ja nie fehlerfrei sein patch and continue ) Die ubiquitäre Vernetzung und die Fehler in Soft- und Hardware machen es (denklogisch) notwendig, dass alle gleiche Sicherheit gewährleisten müssen Auch wenn sich dieses nicht aus dem IT-SiG ergibt, dann vielleicht aus dem Datenschutzrecht, der IT- Compliance, der Notwendigkeit zur Beweisfestigkeit, 15

16 Fazit Informationssicherheit kann man nicht durch ein einziges Gesetz erreichen. Informationssicherheit ist viel mehr als nur Technik und nicht statisch, sondern dynamisch (proaktiv). IT-Sicherheit betrifft uns alle! IT- Sicherheit ist die bittere Pille, die wir schlucken müssen, wenn wir vernetzte, smarte IT weiter einsetzen wollen! Was das IT-SiG und Co. jedenfalls deutlich machen ist, dass je mehr man sich auf IT verlässt, umso mehr ist es möglich, verlassen zu sein! Was es jedoch unbedingt zu verhindern gilt!!! 16

17 Gibt es noch Fragen? Gerald Spyra, LL.M. Rechtsanwalt, externer Datenschutzbeauftragter Kanzlei Spyra Kaiserstr Wipperfürth Vielen Dank für Ihr Interesse!