Cyber-Sicherheitsrat Deutschland e.v. Georgenstraße 22 10117 Berlin -vertraulich-



Ähnliche Dokumente
Stellungnahme. zum Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom

Der Schutz von Patientendaten

Stellungnahme der Bundesärztekammer

Das IT-Sicherheitsgesetz

Nicht über uns ohne uns

Zwischenbericht der UAG NEGS- Fortschreibung

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

Deutschland-Check Nr. 35

Häufig gestellte Fragen zum Thema Migration

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

Informationssicherheit

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

GPP Projekte gemeinsam zum Erfolg führen

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Mobile Intranet in Unternehmen

Verpasst der Mittelstand den Zug?

Staatssekretär Dr. Günther Horzetzky

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Newsletter Immobilienrecht Nr. 10 September 2012

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Letzte Krankenkassen streichen Zusatzbeiträge

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Anlage 1 zur Kabinettvorlage des BMFSFJ vom 23. März / Beschlussvorschlag

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Referent Harald Scheerer Dipl. Kfm. Steuerberater

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Informationssicherheit als Outsourcing Kandidat

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Verordnung zur Bestimmung der Beitragssätze in der gesetzlichen Rentenversicherung für das Jahr 2015

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Darstellung der Entwicklung der Instandhaltungsrücklage unter Berücksichtigung der Entscheidung des Bundesgerichthof vom

Was meinen die Leute eigentlich mit: Grexit?

Schriftliche Vordiplomprüfung Betriebsökonomie FH Serie C

Checkliste «Datenbekanntgabe»

Pflegende Angehörige Online Ihre Plattform im Internet

Wir sind für Sie da. Unser Gesundheitsangebot: Unterstützung im Umgang mit Ihrer Depression

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Was ist clevere Altersvorsorge?

Eine Anrechnung der eigenen Einkünfte und Bezüge des Kindes unterbleibt.

Nr. 12-1/Dezember 2005-Januar A 12041

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. Oktober in der Patentnichtigkeitssache

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

Mitteilung der Kommission. Muster für eine Erklärung über die zur Einstufung als KMU erforderlichen Angaben (2003/C 118/03)

ÜBER DIE ROLLE DER NATIONALEN PARLAMENTE IN DER EUROPÄISCHEN UNION

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

zum Entwurf eines Gesetzes zur Änderung des Berufskraftfahrer-Qualifikations-Gesetzes

D i e n s t e D r i t t e r a u f We b s i t e s

Zeichen bei Zahlen entschlüsseln

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

GPA-Mitteilung Bau 5/2002

DER SELBST-CHECK FÜR IHR PROJEKT

Fragebogen der IG Metall-Jugend zur Qualität der Berufsausbildung

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Säuglingsanfangsnahrung und Folgenahrung Was ändert sich? Was bleibt?

Avira Partner der öffentlichen Verwaltung Wichtige Kooperationen und Allianzen

Auswirkung der neuen Rechtsprechung des Bundesarbeitsgerichts auf Urlaubsund Urlaubsabgeltungsansprüche von Langzeiterkrankten.

Produkthaftung des Handwerkers und Händlers

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Tipps und Tricks zu Netop Vision und Vision Pro

Angenommen am 14. April 2005

Gesetzesänderungen «Nominee», Entwurf

Verordnung zur Änderung medizinprodukterechtlicher Vorschriften vom 16. Februar 2007

Existenzgründer Rating

Der nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Erfahrungen mit Hartz IV- Empfängern

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Studie über die Bewertung von Wissen in kleinen und mittleren Unternehmen in Schleswig-Holstein

Mediumwechsel - VR-NetWorld Software

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Verlagerung der Buchführung ins Ausland. 146 Abs. 2a AO

Transkript:

Seite 1 Der Cyber-Sicherheitsrat Deutschland e.v. (CSRD) vertritt mit seinen Mitgliedern knapp zwei Millionen Arbeitnehmer sowie zahlreiche Bundesländer und verschiedene Institutionen. Hierzu zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Der in Berlin ansässige Verein ist politisch neutral und hat zum Zweck Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit zu beraten und im Kampf gegen die Cyber-Kriminalität zu stärken. Das Bundesministerium des Innern hat am 5. März 2013 einen Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt und die Verbände aufgefordert, hierzu Stellung zu nehmen. Der CSRD ist dieser Aufforderung in seinem Positionspapier vom 8. März 2013 nachgekommen. Am 18. August 2014 hat das Bundesministerium einen zweiten Referentenentwurf veröffentlicht. Diesen Entwurf hat der CSRD am 24. September 2014 kommentiert. Am 4. November 2014 hat das Bundesministerium den dritten Referentenentwurf veröffentlicht, obwohl dieser noch nicht innerhalb der Bundesregierung abgestimmt ist. Der CSRD möchte dennoch die Gelegenheit wahrnehmen, seine Position zu diesem Entwurf darzulegen. Zusammenfassung Der Aufwand für die Betreiber Kritischer Infrastrukturen, d.h. Energie, Finanzen, Logistik, Telekommunikation, Gesundheit, ab 10 Mitarbeitern und einem Jahresumsatz von mehr als 2 Mio. Euro, ist realistischer Weise nicht umsetzbar, zu kostenintensiv und bürokratisch. Der Bund selbst und seine Verwaltung verstehen sich nicht als Kritische Infrastrukturen und halten das Gesetz für nicht praktikabel, weshalb sie sich von dessen Umsetzung ausnehmen. Die Bundesländer, die auch wesentliche KRITIS, wie beispielsweise die Polizeien, betreiben, bleiben ebenfalls unberücksichtigt. Die Einbindung der verursachenden Industrie (Soft- und Hardwarehersteller) wird vernachlässigt. Der Bund hat keine konsistente Cyber-Sicherheitsstrategie, die die verschiedenen Belange von Wirtschaft, Wissenschaft und Strafverfolgung berücksichtigt. Durch die Einführung des Gesetzes wird die Bürokratie ausgebaut ohne die Leistungsfähigkeit des Staates zu erhöhen. Am Ende wird das Gesetz in seiner aktuellen Fassung sogar zu deutlich weniger Sicherheit führen.

Seite 2 1. Branchenspezifische Mindestanforderungen Der CSRD begrüßt die Einführung branchenspezifischer Mindeststandards an die IT- Sicherheit (sog. Stand der Technik ). Kritisch ist aber noch immer die vorgeschlagene Umsetzungsfrist von zwei Jahren ( 8a Abs. 1 BSI- Gesetz). Zwar ist der CSRD grundsätzlich der Ansicht, dass der Schutz von KRITIS schnell vorangetrieben werden muss. Jedoch ist zu berücksichtigen, dass die Entwicklung industrieller Standards auch bei größtem Einsatz der Industrie einen hohen zeitlichen Aufwand erfordert. Dies betrifft insbesondere Unternehmen, deren Standardisierungsmaßahmen auf internationaler Ebene abgestimmt werden müssen. Die Umsetzungszeit ist daher zu verlängern. Die Tatsache, dass der Begriff Stand der Technik auch weiterhin gemeinsam durch BSI, KRITIS-Unternehmen und ihre Branchenverbände definiert werden soll, ist positiv. Jedoch bleibt weiterhin kritisch, dass das BSI abschließend über die Geeignetheit branchenspezifischer Standards als Stand der Technik entscheiden kann ( 8a Abs. 2 BSI-Gesetz). Um Doppelanforderungen und unnötige Bürokratie zu verhindern, schlägt der CSRD vor, die Geeignetheit international anerkannter Standards gesetzlich zu vermuten. Darüber hinaus sollte eine vom Bund unabhängige Schiedsstelle eingerichtet werden, damit Unstimmigkeiten schnell behoben werden können. Schließlich muss sichergestellt werden, dass die Entwicklung und Verifizierung von Standards nicht aufgrund personeller Fehlplanungen durch das BSI gehemmt wird. Darüber hinaus ist der Anwendungsbereich des Gesetzes überzogen und unverhältnismäßig. Da das Gesetz seine Anwendung unabhängig von der Organisationsform des Betreibers Kritischer Infrastrukturen finden soll, sehen sich auch Kleinunternehmen mit mehr als 10 Mitarbeitern und einem Jahresumsatz von mehr als 2 Mio. Euro (gemäß Empfehlung 2003/361/EG der Kommission) einem enormen und nicht praktikablen Aufwand gegenüber. Insbesondere die Tatsache, dass keine Angaben dazu gemacht werden, was auf staatlicher Seite mit den gesammelten Meldungen getan wird, erhöht hierbei nur die Unsicherheit auf Seiten der KRITIS. So ist beispielsweise auch nicht definiert, wie damit umzugehen ist, wenn Rechenzentren außerhalb Deutschlands betrieben werden. Hinzu kommen unklare Verantwortlichkeiten im Bereich der Strafverfolgung und Unterstützung im Falle von IT-Sicherheitsvorfällen.

Seite 3 2. Kein gemeinsames Konzept für Bund, Länder und Kommunen Besonders negativ ist zu bewerten, dass der Staat als größter Betreiber Kritischer Infrastrukturen nicht unter das Gesetz fallen soll. Damit verlangt der Staat von den Unternehmen mehr, als er selbst bereit ist zu leisten. Für den Bund war eine entsprechende Regelung im zweiten Entwurf vorgesehen ( 8 Abs. 1 BSI-Gesetz). Die ersatzlose Streichung dieser Regelung entzieht dem dritten Entwurf die Glaubwürdigkeit und unterstreicht nur, dass auf Seiten des Bundes eine tatsächliche Umsetzung als nicht praktikabel erachtet wird. Eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland wird so zumindest nicht erreicht werden können. Dies gilt erst Recht im Hinblick auf die IT-Sicherheitsstruktur der Länder, die mangels Gesetzgebungskompetenz des Bundes nie Regelungsgegenstand der Entwürfe war. Erforderlich ist daher nicht nur eine gesetzliche Regelung für den Bund, sondern die Schaffung einer länderübergreifenden IT-Sicherheitsstrategie. 3. Zusammenarbeit zwischen KRITIS und BSI Auch der neue Entwurf sieht vor, dass die Zusammenarbeit zwischen Staat und Betreibern Kritischer Infrastrukturen verbessert werden soll (S. 2). Nachdem der CSRD in seinen vorherigen Stellungnahmen deutlich gemacht hat, dass die gesetzliche Regelung diese Zielvorgabe nicht umsetzt, wurde nun nachgebessert. Der aktuelle Entwurf sieht wieder eine unverzügliche Meldung des BSI gegenüber den Betreibern kritischer Infrastrukturen vor. Leistungspflichten und Leistungsfähigkeit des BSI sollten jedoch noch weiter ausgebaut werden. So setzt eine effektive Abwehr von Cyberangriffen voraus, dass das BSI anhand der gewonnenen Erkenntnisse Warnungen und Hilfestellungen zur Verfügung stellt. Ein erster Schritt wäre die Veränderung des Berichtswesens und die Wiedereinführung eines Quartalsberichts. Überdies sollte das BSI über eine schnelle Eingreiftruppe verfügen. Es sollte verpflichtet werden, im Falle erheblicher Angriffe, den betroffenen Unternehmen unverzüglich Hilfe zu leisten, um die Sicherheit der KRITIS zu gewährleisten. Darüber hinaus sollten die gesammelten Erkenntnisse an die Strafverfolgungsbehörden, zur Aufklärung und Verhinderung zukünftiger Straftaten, weitergeleitet werden.

Seite 4 4. Zum Erfüllungsaufwand Der CSRD hat in seiner letzten Stellungnahme deutlich gemacht, dass der vorgeschlagene Erfüllungsaufwand in keinem Verhältnis zu den Schäden durch Cybercrime und dem Budget des BMI steht. Der Umstand, dass der Erfüllungsaufwand im neuen Entwurf nicht ausgewiesen wurde bzw. noch als Gegenstand von Erörterungen zwischen den Ressorts (S. 4) gilt, verdeutlicht, dass die Politik kein klares Konzept verfolgt. Andernfalls ist nicht erklärbar, warum im dritten Referentenentwurf auf diese Angaben verzichtet wurde. Mehr noch: Solang keine konkreten Ressourcen beim BSI genannt werden, bleibt unklar, ob und wieviel der Staat investieren will. Falls keine zusätzlichen Mittel zur Umsetzung des Gesetzes zur Verfügung gestellt werden, wird sich die bisherige Leistungserbringung des BSI weiter verschlechtern. Das Fehlen konkreter Leistungskennzahlen führt weiterhin dazu, dass der Erfolg bzw. Erfüllungsgrad der Maßnahmen nicht bewertbar ist. Bei einer Umsetzung des derzeitigen Gesetzesentwurfes ist daher vor allem mit der Schaffung eines Bürokratiemonsters zu rechnen, nicht aber mit konkreten Maßnahmen zur Erhöhung der Sicherheit. 5. Meldepflicht bei Sicherheitsvorfällen Die geplante Meldepflicht soll nach dem neuen Entwurf eintreten, wenn eine bedeutende Störung der IT-Systeme vorliegt ( 8b Abs. 4 BSI-Gesetz) und ersetzt damit weitestgehend das Merkmal der Beeinträchtigung. Durch den Verweis auf die höchstrichterliche Rechtsprechung zu 100 Abs. 1 TKG (Begründung, S. 40) soll so eine noch genauere Bestimmung der Meldepflicht möglich werden. Leider ist auch die aktuelle Definition nicht geeignet, um den Eintritt der Meldepflicht ausreichend zu konkretisieren. Fraglich ist insbesondere, wann die Funktionsfähigkeit des Betreibers oder der KRITIS bedroht ist. Ist dies bereits der Fall, wenn ein unbefugter Datenzugriff erfolgt oder muss die Störung auf den konkreten Betriebsablauf einwirken? In der Praxis werden diese Fragen täglich auftreten. Positiv ist daher nur, dass der Entwurf weiterhin an der anonymen Meldepflicht festhält und nur in besonders schwerwiegenden Fällen eine namentliche Meldepflicht vorsieht.

Seite 5 6. Berücksichtigung Europäischer Vorgaben Eine umfassende Strategie für Cyber-Sicherheit setzt voraus, dass der gesamte Bereich der IT-Infrastruktur vor Beeinträchtigungen geschützt wird. Vor diesem Hintergrund ist es inkonsequent, dass KRITIS Unternehmen besonders hohe Sicherheitsstandards erfüllen müssen, während an Hard- und Softwarehersteller keine speziellen Anforderungen gestellt werden. Insbesondere mit der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (2013/0027(COD)), hätte die Europäische Union einen Beitrag zur Cyber-Sicherheit leisten können. Jedoch wurde im Ergebnis, auch aufgrund deutscher Bemühungen, der Abänderungsvorschlag Nr. 25 angenommen. Danach sollen Hard- und Softwarehersteller aus dem Anwendungsbereich der Richtlinie rausgenommen werden. Sie trifft folglich keine Verpflichtung zur Gewährleistung der Sicherheit und keine Meldepflicht, obwohl sie einen wesentlichen Faktor für die Cyber-Sicherheit in Europa bilden. Der CSRD sieht in dieser Regelung einen wesentlichen Widerspruch zu der geplanten umfassenden Strategie für Cyber-Sicherheit. Erforderlich sind vielmehr neben bereits bestehenden Regelungen zur Produkthaftung, detaillierte Regelungen zum Umgang mit Sicherheitslücken in Hard- und Software. Eine proaktive Strategie muss darauf bestehen, dass die Hersteller von Hardund Software zum einen verpflichtet werden, Sicherheitsprobleme zu melden und zum anderen diese innerhalb vorgegebener Zeiträume beheben müssen. 7. Weitere Vorschläge zur Erhöhung der IT-Sicherheit Erklärtes Ziel des Gesetzgebers ist eine signifikante Verbesserung der IT- Sicherheitsinfrastruktur. Jedoch ist zu beachten, dass die vorgeschlagenen Maßnahmen nur gegen äußere Angriffe gerichtet sind. Umso wichtiger ist eine Diskussion über Maßnahmen, mit denen Betreiber kritischer Infrastrukturen auch vor internen Angriffen geschützt werden können. Im Bereich der Luftsicherheit hat der Gesetzgeber bereits Regelungen geschaffen, mit denen Personen, die Zugang zu besonders sensiblen Sicherheitsbereichen haben, auf ihre Zuverlässigkeit hin überprüft werden können. Derartige Zuverlässigkeitsüberprüfungen könnten ein erster Schritt sein, um die Gefahr interner Angriffe im Cyber-Sicherheitsbereich zu minimieren und gleichzeitig den Datenschutz einzuhalten.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback