Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Transkript

1 Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz Am 25. Juli 2015 trat das neue IT-Sicherheitsgesetz in Kraft. Ziel des Gesetzes ist es, eine signifikante Verbesserung der IT-Sicherheit in Deutschland zu erreichen, so die Begründung des Gesetzgebers. Darüber hinaus soll der Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) verbessert werden, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können.

2 Das Gesetz ändert bereits bestehende Gesetze, wie beispielsweise das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) oder das Telemediengesetz (TMG) und fügt jeweils Änderungen und Vorgaben hinsichtlich der Schaffung von Mindeststandards in der IT-Sicherheit ein. Wir beantworten nachfolgend häufig gestellte Fragen zur neuen Rechtslage und geben einen Überblick über die Neuerungen, die auf die betroffenen Unternehmen zukommen. Für wen gilt das Gesetz? Das Gesetz gilt für Unternehmen, die auf der Grundlage des IT-Sicherheitsgesetzes als Betreiber sogenannter Kritischer Infrastrukturen angesehen werden. Kritische Infrastrukturen sind die IT-Systeme, deren Ausfall oder Beeinträchtigung ernsthafte Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen für das Allgemeinwohl haben würden. Dies gilt insbesondere, aber nicht ausschließlich, für die im Gesetz bezeichneten Unternehmen aus den nachfolgend genannten Bereichen: Energie (z.b. Elektrizität, Gas, Öl, alternative Energien ), Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit (z.b. Krankenhäuser, Pharmahersteller, Labore ), Wasser (z.b. Wasserversorgung und Abwasserentsorgung), Ernährung, Finanz- und Versicherungswesen. Darüber hinaus hat das neue IT-Sicherheitsgesetz Auswirkungen auf Telekommunikationsunternehmen und Webseitenbetreiber. Auch für diese Unternehmen werden die Anforderungen an technische Sicherheitsmaßnahmen erhöht, u.a. mit dem Ziel, die Verbreitung von Schadsoftware einzudämmen und Kunden rechtzeitig vor Sicherheitsproblemen zu warnen bzw. sie zu informieren.

3 Gilt das Gesetz auch für Behörden und kommunale Einrichtungen? Das Gesetz gilt nur für Bundesbehörden. Woher weiß ich, ob mein Unternehmen eine Kritische Infrastruktur im Sinne des neuen Gesetzes betreibt? Zunächst gelten Unternehmen aus den oben bezeichneten und im Gesetz aufgeführten Branchen als Betreiber kritischer Infrastrukturen. Welche Unternehmen jedoch im Einzelnen als Kritische Infrastrukturen abgekürzt KRITIS - definiert werden, wird durch eine Rechtsverordnung festgelegt, die noch nicht in Kraft ist und zurzeit im Bundesministerium des Innern erarbeitet wird. Ausgenommen sind lediglich Kleinstunternehmen, d.h. Firmen mit weniger als 10 Mitarbeitern und weniger als 2 Millionen Euro Jahresumsatz. Für alle anderen Unternehmen der genannten Branchen ist es jedoch möglich, dass sie als kritische Infrastruktur eingeordnet werden und die neuen Anforderungen umsetzen müssen. Einzelne Ausnahmen und Spezialvorschriften gelten u.a. für die Betreiber öffentlicher Telekommunikationsdienste oder Atomanlagen. Bund und Länder haben sich auf eine Sektoren- und Brancheneinteilung kritischer Infrastrukturen verständigt, die auf den Seiten des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe veröffentlicht ist ( AufgabenundAusstattung/KritischeInfrastrukturen/kritischeinfrastrukturen_node.html). Auch dort findet man erste Anhaltspunkte, ob das eigene Unternehmen zu den kritischen Infrastrukturen zählt.

4 Was müssen Unternehmen tun, die zu den Kritischen Infrastrukturen gehören? Unternehmen, deren Systeme den KRITIS zugeordnet sind oder werden, sind durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindestsicherheitsstandards für ihre IT-Infrastruktur zu etablieren und aufrecht zu erhalten. Diese Mindeststandards müssen jedoch erst einmal entwickelt werden; zuständig dafür ist das Bundesamt für die Sicherheit in der Informationstechnik (BSI), das später dann auch die Tauglichkeit und Einhaltung der spezifischen Maßnahmen bei und durch die Unternehmen überprüft. Abgesehen von den zu entwickelnden Mindeststandards hat der Gesetzgeber für Unternehmen aus dem Bereich der kritischen Infrastrukturen Grundzüge von speziellen Anforderungen an die Informationssicherheit definiert, die von den Unternehmen eingehalten werden müssen. So sind die betroffenen Unternehmen verpflichtet, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Die zu ergreifenden Sicherheitsmaßnahmen in der IT müssen angemessen sein und dem Stand der Technik entsprechen. Angemessenheit heißt in diesem Fall, dass der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur stehen darf. Bei der Definition der Angemessenheit sind auch der nötige Aufwand und die damit verbundenen Kosten zu berücksichtigen. Dadurch, dass bei kritischen Infrastrukturen im Grunde in fast allen Fällen einer Beeinträchtigung der IT mit weitreichenden Folgen für das Unternehmen und ggfls. auch die Allgemeinheit zu rechnen ist, sind die Anforderungen an die nötigen Schutzmaßnahmen voraussichtlich eher hoch einzustufen. Die jeweils getroffenen Maßnahmen müssen von den Betreibern in Sicherheits- und Notfallkonzepten niedergelegt und die Umsetzung dokumentiert werden. Die Unternehmen sind verpflichtet, die Umsetzung der vom Gesetz geforderten Sicherheitsmaßnahmen mindestens alle zwei Jahre durch Audits oder Zertifizierungen nachzuweisen. Die Ergebnisse müssen an das BSI gemeldet werden einschließlich möglicherweise aufgedeckter Sicherheitsmängel. Das BSI kann im Anschluss die Beseitigung der Mängel verlangen und diese prüfen. Die genaue Ausgestaltung der Audits und Zertifizierungen wird nicht im Gesetz geregelt, sondern soll u.a. bereits bestehende branchenspezifische Sicherheitsstandards berücksichtigen, wie beispielsweise die ISO Norm für Rechenzentren und technische Dienstleister. Weiterhin sind die Unternehmen verpflichtet, eine Kommunikationsstelle aufzubauen, die für die Kommunikation mit dem BSI über Sicherheitsangelegenheiten zuständig und verantwortlich ist.

5 Welche Rolle hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI)? Neben der Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung der IT- Sicherheit, der Untersuchung von Sicherheitsvorfällen und der Auditierung und Zertifizierung kommt dem BSI mit dem IT-Sicherheitsgesetz zusätzlich die Rolle einer Art Stiftung Warentest für Informationstechnik zu. Es soll auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte, Systeme und Dienste, wie es im Gesetz heißt, untersuchen. Die Ergebnisse dieser Untersuchungen dürfen auch veröffentlicht werden, sofern dies für die Aufgabenerfüllung des BSI erforderlich sein sollte. Außerdem kann das BSI den Einsatz bestimmter Sicherheitsprodukte empfehlen. Mit den neuen Möglichkeiten der Untersuchung von IT-Produkten im weiteren Sinne und deren möglicher Empfehlung als sicherheitsfreundlich geht als zweite Seite der Medaille die Erlaubnis für das BSI einher, Warnungen an die Öffentlichkeit oder betroffene Kreise zu richten, wenn Sicherheitslücken, Schadprogramme oder auch Datenverluste bekannt werden. Welche Meldepflichten bestehen für die Unternehmen? Die Ergebnisse der zweijährlichen Audits, Prüfungen oder Zertifizierungen zur IT-Sicherheit in den vom IT-Sicherheitsgesetz betroffenen Unternehmen müssen an das BSI gemeldet werden einschließlich möglicherweise aufgedeckter Sicherheitsmängel, deren Beseitigung das BSI im Anschluss verlangen kann. Die oben bereits erwähnten Meldepflichten im Fall der Aufdeckung von Sicherheitsproblemen im Rahmen von erfolgten Audits oder Zertifizierungen erfolgen in der Regel anonym. Für den Fall, dass ein vollständiger Systemausfall droht, muss allerdings der Name des Unternehmens an das BSI gemeldet werden. Die Nicht-Meldung solcher Sicherheitsvorfälle kann mit Strafen von bis zu Euro geahndet werden. Die zuständigen Behörden sollen auf diese Weise in die Lage versetzt werden, eine verbesserte Einschätzung der aktuellen Sicherheitslage vorzunehmen und die Möglichkeit erhalten, andere Unternehmen vor vergleichbaren Angriffen zu warnen. Wieviel Zeit haben Unternehmen für die Erfüllung der Anforderungen? Da die Etablierung von Sicherheitsmaßnahmen nicht innerhalb kurzer Zeit zu erledigen ist, ist für die Einführung der geforderten Maßnahmen eine Übergangsfrist von zwei Jahren vorgesehen, beginnend mit dem Inkrafttreten der Rechtsverordnung, aus der sich der Kreis der konkret betroffenen Unternehmen ergibt.

6 Was droht bei Verstößen gegen das Gesetz? Die Nicht-Beachtung der Verpflichtung zur Schaffung angemessener technischer und organisatorischer Sicherheitsmaßnahmen oder der Vorgaben zur Meldepflicht von Sicherheitsvorfällen kann als Ordnungswidrigkeit mit Bußgeldern in Höhe von bis EUR geahndet werden. Dies wird aber auch erst der Fall sein, wenn die zweijährige Übergangsfrist zur Umsetzung der Maßnahmen abgelaufen ist (vgl. den vorangegangen Absatz). Woher wissen Unternehmen, was sie tun müssen? Das Gesetz selber schreibt keine konkreten Maßnahmen vor. Der Gesetzgeber wählte zahlreiche unbestimmte rechtliche Begriffe, die die von den Unternehmen zu treffenden Maßnahmen beschreiben: Angemessene Sicherheitsmaßnahmen, Stand der Technik, Mindeststandards und Vorkehrungen zur Vermeidung von Störungen sind einige Beispiele. Orientierung für die Ergreifung und Umsetzung konkreter Maßnahmen in der Praxis können daher nur bereits bestehende anerkannte technische Standards bieten, wie beispielsweise die der ISO Normenfamilie, auf die in der Begründung des Gesetzes auch ausdrücklich Bezug genommen wird. Darüber hinaus sind branchenspezifische Standards in der Entwicklung. So hat beispielsweise die Bundesnetzagentur (BNetzA) einen Katalog von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht. Die entsprechende Veröffentlichung mit dem Entwurfstext und weiteren Informationen findet sich auf der Webseite der Bundesnetzagentur Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html. Das BSI selber hat Vorgaben zum Sicheren -Transport veröffentlicht, um ein weiteres Beispiel zu nennen. Der Entwurf einer Technischen Richtlinie "Sicherer -Transport" richtet sich an Betreiber von -Diensten und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, deren Umsetzung für -Diensteanbieter empfohlen wird, um einen sicheren Betrieb ihrer Angebote zu gewährleisten ( html). Die Einhaltung der Anforderungen soll von einer unabhängigen Stelle zertifiziert werden, die im Entwurf der Richtlinie jedoch noch nicht namentlich genannt ist. Auf diese Weise werden im Laufe der Zeit branchenübliche Standards zur IT-Sicherheit entwickelt werden, die von den einzelnen Unternehmen umgesetzt werden können. Bis dies für alle Branchen geschehen ist, bieten die bereits bestehenden, allgemein akzeptierten, technischen Normen Anhaltspunkte für Sicherheitsmaßnahmen in der IT und die Grundlage für Verbesserungen der eigenen IT-Sicherheit.

7 Was können Unternehmen tun um die neuen Vorgaben zu erfüllen? Abgesehen von der Tatsache, dass viele Unternehmen noch nicht genau absehen können, ob sie zu den Kritischen Infrastrukturen gezählt werden und die neuen gesetzlichen Anforderungen erfüllen müssen oder nicht, ist es durch die vielen offen formulierten Anforderungen im IT-Sicherheitsgesetz eher schwierig einzuschätzen, welche Maßnahmen im Einzelfall tatsächlich gefordert sind. Hier kann eine Risikoanalyse in Bezug auf die eigene IT-Infrastruktur Abhilfe schaffen, mit der Unternehmen alle ihre Prozesse auf den Prüfstand stellen und unter dem Blickwinkel der Fragestellung betrachten: Wo können Ausfälle vorkommen und warum? Wie können Ausfälle entstehen? Welcher Schaden droht, wenn Ausfälle eintreten? Auf der Grundlage der Antworten können dann unternehmensund branchenspezifische Sicherheitsmaßnahmen festgelegt und umgesetzt werden. Dabei sollte auch die Frage im Blick behalten werden, ob die eingesetzten (oder künftig einzusetzenden) Sicherheitsmaßnahmen dem Stand der Technik entsprechen, wie vom IT-SiG gefordert. Eine solche Analyse sollten in jedem Fall Unternehmen vornehmen, die im weitesten Sinne zu den Betreibern kritischer Infrastrukturen gezählt werden können oder aber eng mit solchen zusammenarbeiten. Die Analyse und die anschließende Umsetzung von Sicherheitsmaßnahmen sind in jedem Fall lohnend geht es doch nicht in erster Linie um die Einhaltung von Gesetzen um der Einhaltung von Gesetzen willens, sondern um die Absicherung der eigenen unternehmerischen Existenz. Mit einer guten Vorbereitung ist somit einer doppelter Nutzen erfüllt und die Grundlage für die Erfüllung der möglichen Pflichten aus dem neuen IT-Sicherheitsgesetz geschaffen.

8 Wo erhalte ich weiterführende Informationen? Weitere Informationen erhalten Sie z.b. auf der Internetplattform zum Schutz Kritischer Infrastrukturen, die eine gemeinsame Initiative des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) darstellt und eine Ergänzung zu den bereits bestehenden Internetauftritten beider Behörden ist. Dieser Text wurde von PrivCom Datenschutz GmbH, Rechtsanwältin Dr. Bettina Kähler erstellt. Die Sophos GmbH und Dr. Kähler weisen darauf hin, dass diese FAQ nur als Informationsangebot dienen und eine Rechtsberatung im Einzelfall nicht ersetzen können und sollen. Insofern verstehen sich die Inhalte ohne Gewähr auf Vollständigkeit und Richtigkeit. Stand dieser Information: 28. August 2015 PrivCom Datenschutz GmbH, Dr. Bettina Kähler Weitere Informationen Unter erfahren Sie, wie SafeGuard Encyption Ihr Unternehmen bei der Einhaltung der Datenschutzvorschriften unterstützen kann. Kostenlos testen Kostenlose Testversion unter Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, Server, s und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Weitere Infos unter Sales DACH (Deutschland, Österreich, Schweiz) Tel.: sales@sophos.de Oxford, GB Boston, USA Copyright Sophos Ltd. Alle Rechte vorbehalten. Eingetragen in England und Wales, Nr , The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen Inhabers WP-DE (MP)