Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung des Bundesrats und daran anschließend die Verkündung stehen noch aus und werden für den Juli 2015 erwartet. Das Gesetz ist in Fachkreisen nicht unumstritten und wurde teils heftig diskutiert. Technische Basisinfrastruktur Energieversorgung IT und Kommunikationstechnologie Transport und Verkehr Wasser Ver- und Entsorgung Sozioökonomische Dienstleistungsinfrastrukturen Gesundheitswesen, Ernährung Notfall- und Rettungswesen, Katastrophenschutz Finanz- und Versicherungswesen Medien und Kulturgüter Öffentliche Verwaltung, Justizwesen, Regierung und Parlament Quelle: Broschüre Kritis, Bundesministerium des Inneren, 17.6.2009 Das Ziel des IT- Sicherheitsgesetzes ist es, eine signifikante Verbesserung der IT- Sicherheit von Unternehmen sowie der verstärkte Schutz der Bürgerinnen und Bürger in Deutschland zu erreichen. Verbessert werden sollen: Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten und Systeme. Damit beschränkt sich das IT- Sicherheitsgesetz nicht nur auf die aktuellen Bedrohungsszenarien im Cyberraum, sondern schließt unter anderem die Minimierung von Risiken, die durch Naturereignisse verursacht werden, ein. Besonders von dem Gesetz betroffen sind Betreiber von IT-Infrastrukturen, die für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind. Betreiber solcher kritischer Infrastrukturen sind neben den Grundversorgern für Logistik, Energie/Wasser, Kommunikation auch weitere Branchen von sozialer Bedeutung. Ausgenommen vom Gesetz sind große Bereiche der öffentlichen Verwaltung, der Regierung und des Parlaments. Durch das IT-Sicherheitsgesetz wird eine ganze Reihe von Gesetzen, vom BKA-Gesetz bis zum Bundesbesoldungsgesetz geändert. Pflichten aufgrund des IT-Sicherheitsgesetzes Für die Betreiber kritischer IT-Infrastrukturen ergeben sich drei wichtige Aufgaben: zum einen muss die durch das Gesetz eingeführte Meldepflicht erfüllt werden, und zum anderen müssen die IT-Infrastrukturen entsprechend dem aktuellen Stand der Technik gesichert werden. Ferner muss der Erfolg dieser Sicherung der Systeme durch entsprechende Audits nachgewiesen werden. Gesetzliche Anforderungen (Auszug) Meldepflicht für Vorfälle "Härtung" von IT-Systemen Dokumentation Regelmäßige Audits 1
Verstöße gegen die Vorgaben des IT-Sicherheitsgesetzes sind Bußgeldbewehrt. Binnen zwei Jahren nach der Verkündung des Gesetzes müssen die Betreiber kritischer IT- Infrastrukturen ihre Systeme hinsichtlich der Erfüllung Anforderungen an die Schutzkriterien Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität geprüft und auf ein angemessenes Niveau gebracht werden. Was genau unter einem angemessenen Niveau zu verstehen ist, wird im Gesetz nicht explizit definiert. Das Gesetz stellt dazu fest, dass der für technische und organisatorische Vorkehrungen notwendige Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung stehen soll. Bei den Maßnahmen soll der aktuelle Stand der Technik berücksichtigt werden. Besonderheit: Betrieb (kommerzieller) Webseiten Durch das IT-Sicherheitsgesetz wird auch das Telemediengesetz geändert. Zumindest in der Theorie sind davon alle Betreiber von kommerziellen Webseiten betroffen. Der Artikel 4 des IT- Sicherheitsgesetzes, mit dem das Telemediengesetz geändert wird, beschreibt Vorgaben, die zur Konsequenz haben, dass jeder Betreibereines Blogs, eines On-Line Shops oder auch nur einer Webseite die dafür eingesetzte Software auf dem neuesten Stand zu halten und aktuelle Patches und sicherheitsrelevante Updates zügig einzuspielen. Bei einem Versäumnis droht ein Bußgeld. Als für Webseiten erstmals die Impressumspflicht eingeführt wurde, so entwickelte sich dieses zu einer Quelle für Abmahnungen. Es wird spannend sein, zu beobachten, wann die ersten Wettbewerber (oder Abmahnvereine) die Betreiber ungesicherter Shops oder Webseiten, mit Abmahnungen überziehen. Ob das Erfolg haben wird, oder nicht, sei dahingestellt nur eines ist wahrscheinlich: Irgendjemand wird es versuchen. Nutzen Sie unser praxiserprobtes Angebot Wir, die SHE Informationstechnologie AG, verfügen über mehr als 25 Jahre Erfahrung in der IT- Sicherheit. Mit unserem Paket Start begleiten wir Sie durch den Prozess und erstellen mit Ihnen eine Erstanalyse der Situation. Wir prüfen Ihre IT-gestützten Prozesse und deren Dokumentation, sowie die Randparameter, die einen entscheidenden Einfluss auf die IT-Sicherheit haben. Ausgehend von dieser Erstanalyse begleiten wir Sie mit einer Dokumentation der Ergebnisse und den Empfehlungen für das weitere Vorgehen. Unsere Empfehlungen für das weitere Vorgehen richten sich nach der aktuellen Situation, den zu erfüllenden Anforderungen, dem aktuellen Stand der Technik und der Angemessenheit der empfohlenen Maßnahmen. 2
Detaillierte Bestandaufnahme als Beginn aller Überlegungen Eine gründliche Analyse des derzeitigen Ist-Stands der IT- Sicherheit bildet die Grundlage für alle weiteren Schritte: die fundierte Empfehlung für das weitere Vorgehen. Wir überprüfen Ihre IT-Sicherheitsrichtlinie und erstellen gegebenenfalls für Sie die IT-Sicherheitsrichtlinien gemäß den BSI-Vorgaben. Wir prüfen dabei: Paket: Start - Erstanalyse zur Prüfung von: Verfahrensdokumentation Dokumentation der Prozesse - Sind kritische IT-Assets identifiziert und werden Sie gemanagt? - Sind Maßnahmen zur Angriffsprävention und - erkennung etabliert? - Ist der Ansprechpartner für die Erfüllung der Meldepflichten an das BSI etabliert und verfügt er über geeignete Maßnahmen zu Erkennung von Angriffen? - Wird ein Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.) betrieben? - Ist ein Business Continuity Management (BCM) implementiert? - Wurden in der Vergangenheit regelmäßige Audits / Penetrationstests durchgeführt? Dokumentation der IT- Systeme Berechtigungskonzept Umgang mit schützenswerten Daten Umsetzung technischer Maßnahmen Ausgehend von den Empfehlungen unterstützen wir Sie in den einzelnen Phasen zur Einführung der gemeinsam mit Ihnen definierten IT- Sicherheitsstandards. Selbstverständlich können wir uns dabei entweder auf die im Paket Start Paket Umsetzung gewonnen Erkenntnisse stützen, oder wir folgen Ihren Anforderungen und setzen Ihre Wünsche Anforderungsanalyse und Systemauswahl kompetent und nachhaltig um. Wir konzeptionieren und implementieren IT- Sicherheitssysteme für: Lieferung und Implementierung - Firewalls mit Echtzeit-Reporting über kritische Events - Intrusion-Detection/Prevention Systeme (IPS) - Application-Layer Firewalls 3 ausgewählter Systeme Dokumentation und Betriebskonzept
- Data-Loss Prevention Systeme, Verschlüsselung von Daten, Berechtigungskonzepte - SIEM-Systeme (Sicherheitsorganisation, IT-Risikomanagement) - Preisgekröntes System für den sicheren Versand elektronischer Dokumente mit Zustellungsnachweis und stützen uns dabei auf Lösungen führender Hersteller wie CheckPoint, Sophos, RSA, Ergon und anderer namhafter Hersteller. Überprüfung und Betrieb von IT-Sicherheitssystemen Einmal implementierte Systeme müssen regelmäßig gewartet und überprüft werden. Gerne übernehmen wir dieses für Sie. Auf Anforderung übernehmen wir auch komplett die Betriebsverantwortung für ihre IT- Sicherheitssysteme. Dabei gehen wir spezifisch auf die Anforderungen Ihres Unternehmens ein selbstverständlich unter praxisgerechter Berücksichtigung von Aufwand und Nutzen. Ein angemessenes Reporting und die Schnittstelle zu Audits sind wesentliche Bausteine unseres Betriebs- Konzepts. Paket Betrieb Analyse der Systeme: Kritikalität, Anforderungen, Verfübarkeit Maßgeschneiderte Support Level Erstellung Betriebskonzept Reportinmg / auditing-schnittstelle Full-Outsourcing der Infrastruktur SHE betreibt wichtige Infrastrukturen in eigenen zertifizierten Rechenzentren (Klasse Tier IV) in Ludwigshafen. Wir bieten sowohl klassisches Hosting und Betrieb als auch die Bereitstellung der kompletten Data-Center Infrastruktur auf virtuellen Systemen an. Wir setzen dabei auf Produkte führender Hersteller wie CheckPoint, Dell, VMware, Nexsan, Microsoft und anderen. Über allem jedoch steht ein Betriebskonzept, dass sich maßgeschneidert den Bedürfnissen und Ansprüchen der Nutzer anpasst und angemessene Schutzmaßnahmen und Konzepte für das Business Continuity Management realisiert. 4
Stand der Information: Juni 2015 Für Rückfragen: Dr. Hansgeorg Schaller Senior Account Manager Fon: +49 621 52 00 179 Fax: +49 621 52 00-558 E-Mail: hansgeorg.schaller@she.net 5