Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Dr. Reinhold Scheffel und Martin Lang Öffentlich bestellte und vereidigte Sachverständige
1. Vorstellung des neuen IT-Sicherheitsgesetzes in den wichtigsten Punkten 2. Wer ist betroffen? KRITIS-Unternehmen, Branchen und ihre Wertschöpfungsketten 3. Warum betrifft es auch KMU in der Folge? 4. Besondere Merkmale für Stromversorger, Stadtwerke, Internetanbieter 5. Einhaltung von Mindeststandards in der IT-Sicherheit 6. Datenschutz und Datensicherheit: Vertraulichkeit, Integrität und Verfügbarkeit 7. Nachweis durch Sicherheitsaudits 8. Praktische Hinweise zur Einführung von ISMS (Informations Sicherheits- Management-System) für KMU Kostengünstige Lösungen 9. Von der IT-Inventur bis zum Business Continuity Mangement (BCM) Wie geht man vor? Welchen Aufwand muss man treiben und welche kostengünstigen Lösungen gibt es, angepasst auf die Unternehmensgröße? 10. Sicherheitskonzept und Notfallplanung IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 2
0. Das IT-Sicherheitsgesetz und seine Folgen Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme kritischer Infrastrukturen) ist seit Ende Juli 2015 in Kraft. Betroffene Branchen sind Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Kriterien für die Einbeziehung in den Anwendungsbereich des IT-Sicherheitsgesetzes sind die als kritisch anzusehenden Dienstleistungen und Prozessschritte sowie der von einer Kritischen Infrastruktur bereitgestellte Versorgungsgrad, sowie deren Zulieferungskette. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 3
1. Vorstellung des neuen IT-Sicherheitsgesetzes in den wichtigsten Punkten Spezielle Regelungen für: 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes 3. Genehmigungsinhaber nach 7 Absatz 1 des Atomgesetzes 4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach 8a vergleichbar oder weitergehend sind. 5. Betreiber von Webseiten nach TMG IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 4
1. Vorstellung des neuen IT- Sicherheitsgesetzes in den wichtigsten Punkten gilt dann auch die Pflicht für Betreiber Kritischer Infrastrukturen zur Implementierung von IT-Sicherheits-Mindeststandards. Die Zahl und der Schweregrad der IT-Angriffe durch militärische Einrichtungen, Sicherheitsbehörden und insbesondere Organisierte Kriminalität nimmt international insbesondere auch in Deutschland - stark zu, weil von diesen Angreifern erkannt worden ist, dass jeder Angriff, der eine Sicherheitslücke ausnutzt, erfolgreich ist. Besonders erfolgreich ist die Ausnutzung von Sicherheitslücken, die noch gar nicht veröffentlicht sind: Zero-Day- Vulnerabilities. Demzufolge steigt weltweit das Interesse an diesen unveröffentlichten Sicherheitslücken in Standardsoftware, Open Source und Software-Entwicklungstools. Die zunehmende Digitalisierung, wird das Problem weiter verschärfen. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 5
1. Vorstellung des neuen IT- Sicherheitsgesetzes in den wichtigsten Punkten Meldung tatsächlicher und auch möglicher erheblicher Störungen Mindestanforderungen an die IT-Sicherheit in Unternehmen der Kritischen Infrastrukturen und Webseiten-Betreiber Der jährliche Schaden insbesondere durch IT-Spionage aber auch durch IT-Sabotage wird derzeit in Deutschland auf einen mittleren zweistelligen Milliardenbetrag geschätzt. Ein Novum ist die Verpflichtung der Hersteller informationstechnischer Produkte und Systeme sich z.b. mit Sicherheitsupdates (Patches) an der Beseitigung oder Vermeidung einer Störung angemessen zu beteiligen. Gemeldet werden müssen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 6
2. Wer ist betroffen? KRITIS-Unternehmen, Branchen und ihre Wertschöpfungsketten Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Es gilt über das TMG auch für alle Betreiber von Webseiten IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 7
2. Wer ist betroffen? KRITIS-Unternehmen, Branchen und ihre Wertschöpfungsketten Änderung des Telemediengesetzes Das Telemediengesetz wird wie folgt geändert: Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 8
3. Warum betrifft es auch KMU in der Folge? Anbieter geschäftsmäßig erbrachter Telemediendienste - also insbesondere Webseitenbetreiber - müssen ab sofort technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern. Was ist zu tun: TOMs: technische und organisatorische Maßnahmen IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 9
3. Warum betrifft es auch KMU in der Folge? Anbieter von Telemediendiensten wie Webseiten Hierunter fallen alle Unternehmen, die eine Webseite betreiben ggf. auch nur mit Informationen für Interessierte! Unter Webseitenbetreiber fallen auch die Unternehmen, die Apps zur Nutzung im Internet bereitstellen. Um die Verbreitung von Schadsoftware über das Internet einzudämmen (z.b. Drive-by- Downloads), sollen Webseitenbetreiber angebotene Sicherheitskorrekturen (Patches) einspielen. Kompromittierte Werbebanner sollen durch organisatorische Maßnahmen (Verträge) unterbunden werden. Diensteanbieter sollen durch technische und organisatorische Vorkehrungen sicherstellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 10
3. Warum betrifft es auch KMU in der Folge? Vorkehrungen müssen den Stand der Technik berücksichtigen. Eine Maßnahme ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Hier dürfte es sich allein um 3.000.000 betroffene Unternehmen handeln. Verstöße gegen die Pflichten werden mit einem Bußgeld bis zu 50.000 Euro bewehrt. Bei Verstößen gegen die Anordnung zur Beseitigung eines Sicherheitsmangels kann das Bußgeld bis zu 100.000 Euro betragen. Das trifft nicht nur große Infrastrukturunternehmen wie Kraftwerk- und Energienetzbetreiber, sondern auch Kleinstunternehmen, die als Telemediendiensteanbieter eine Website unterhalten. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 11
3. Warum betrifft es auch KMU in der Folge? Lieferkette Erfahrungsgemäß werden betroffene Unternehmen Ihrerseits ihre Lieferanten in den Nachweis der Erfüllung des IT-Sicherheitsgesetzes mit einbinden. Gleichartige Erfahrungen gibt es in der Historie anderer Normen und Gesetze Beispiel: ISO 9001, Lieferantenbewertung Beispiel: Datenschutzgesetze, Auftragsverarbeitung nach 11 Beispiel: BCM, Notfallplanung, Ausfall eines Vorlieferanten IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 12
3. Warum betrifft es auch KMU in der Folge? Probleme im Bereich KMU: Fehlende Sensibilität der Betroffenheit Fehlendes Risiko-Management Fehlende Notfallplanung Fehlende Kenntnisse der Gesetzeslage Fehlende Kenntnisse zur Umsetzung Fehlende Priorisierung Fehlende Ressourcen in Personal, Technik und Finanzen IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 13
4. Besondere Merkmale für Stromversorger, Stadtwerke, Internetanbieter Besondere Regelung für Energieversorger Betrifft zunächst einmal die Betreiber der Versorgungsnetze..aber auch deren Vorlieferanten, wenn diese zu Versorgungssicherheit beitragen (z.b. Messstellenbetreiber mit aktiven Steuerungselementen). Spezieller IT-Sicherheitskatalog der BNetzA/BSI Neu: Forderung des Nachweises der IT-Sicherheit nach ISO 27001 Neu: Forderung nach einem IT-Sicherheitsbeauftragten IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 14
4. Besondere Merkmale für Stromversorger, Stadtwerke, Internetanbieter Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine Kontaktstelle für die Kommunikationsstrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt erfolgt an diese Kontaktstelle. Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 15
5. Einhaltung von Mindeststandards in der IT-Sicherheit Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 16
5. Einhaltung von Mindeststandards in der IT-Sicherheit Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 17
6. Datenschutz und Datensicherheit: Vertraulichkeit, Integrität und Verfügbarkeit Schutzziele Vertraulichkeit der übermittelten und gespeicherten Informationen Integrität - Korrektheit der empfangenen und gespeicherten Informationen Verfügbarkeit der Computer und des Internet inkl. der Software Authentizität bei Übermittlung, Empfang und Speicherung von Informationen IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 18
6. Datenschutz und Datensicherheit: Vertraulichkeit, Integrität und Verfügbarkeit Ergänzung des BDSG durch technische Komponenten des IT-Sicherheitsgesetzes Weitere Gesetze, die das gleiche Thema regeln: KontrG GmbH-Gesetz Aktiengesetze IT-Sicherheitsgesetz - Bonn/Rhein-Sieg 14.10.2015 RS 08.10.2015 19