Disclaimer - Haftungsausschluss Alle Informationen in diesem Vortrag sind nach bestem Wissen und Gewissen zusammengestellt. Die Autoren weisen jedoch daraufhin, dass sie keine Haftung für die Richtigkeit, Aktualität und Vollständigkeit übernehmen. Insbesondere ersetzt dieser Vortrag keine rechtliche oder technische Beratung im Einzelfall. Für eine Beratung in rechtlichen Angelegenheiten wenden Sie sich bitte an einen Anwalt Ihres Vertrauens, für eine Beratung in technischen Angelegenheiten im Einzelfall steht die SHE Informationstechnologie AG nach einer entsprechenden Beauftragung gerne zur Verfügung. 1
Der Bundesrat hat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme am 10. Juli 2015 gebilligt. Es wird nun dem Bundespräsidenten zur Unterschrift vorgelegt und tritt in großen Teilen am Tag nach der Verkündung in Kraft. Rechtsverordnungen, die z.b. die Zugehörigkeit zu Kritis regeln, sind in Ausarbeitung Energiewirtschaft: Die Bundesnetzagentur hat gemäß 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Katalog von Sicherheitsanforderungen erstellt und veröffentlicht, der dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dient (IT-Sicherheitskatalog). Stand: 14. August 2015 2
Das IT Sicherheits-Gesetz fast Änderungen an einer Vielzahl von Gesetzen zusammen. Artikel 1: Änderung des BSI-Gesetzes Artikel 2: Änderung des Atomgesetzes Artikel 3: Änderung des Energiewirtschaftsgesetzes Artikel 4: Änderung des Telemediengesetzes Artikel 5: Änderung des Telekommunikationsgesetzes Artikel 6: Änderung des Bundesbesoldungsgesetzes Artikel 7: Änderung des Bundeskriminalamtgesetzes Artikel 8: Weitere Änderung des BSI-Gesetzes Artikel 9: Änderung des Gesetzes zur Strukturreform des Gebührenrechts des Bundes Artikel 10: Inkrafttreten 3
Das IT Sicherheitsgesetz konzentriert sich NICHT nur auf die IT-Sicherheit gegen externe Angriffe (Cyber-Krieg) sondern beschreibt die Maßnahmen bzw. Anforderungen für eine ganzheitliche IT Sicherheit. Im Sinne des IT-Sicherheitsgesetz ist es unerheblich, ob eine Web-Applikation ausfällt, weil ein externer Angriff von Außen erfolgreich war, oder ob die Infrastruktur wegen beispielsweise einem logischen Fehler auf den Switchen oder einer fehlerhaften Festplatte in einem schlecht konfigurierten Verbund ausfällt. Gleiches gilt auch bei einem externen Ereignis wie einer Unterbrechung der Stromversorgung. 4
Quelle: Drucksache 18/4096 vom 25.2.2015, Vorbemerkungen zum Gesetzentwurf der Bundesregierung an den Deutschen Bundestag. Der Bedarf an Sach-und Personalmitteln sowie Planstellen und Stellen soll finanziell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden. Die Summe ist mehr als 20 Millionen Euro BSI: Personalkosten jährlich zwischen 8,95 bis zu 15,8 Mio.Euro sowie einmalige Sachkosten 5 bis 7 Mio.Euro BBK: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe: Personalkosten jährlich 0,7 bis 1 Mio.Euro BNetzA: Bundesnetzagentur: Personalkosten bis zu 3,2 Mio.Euro BKA: Personalkosten jährlich zwischen 3,2 bis zu 5,3 Mio.Euro sowie einmalige Sachkosten bis 0,6 Mio.Euro Bundesamtes für Verfassungsschutz (BfV): Personalkosten jährlich zwischen 1,8 bis zu 3,2 Mio.Euro sowie einmalige Sachkosten bis 0,6 Mio.Euro Bundesnachrichtendienstes (BND): Personalkosten jährlich bis zu 2,1 Mio.Euro und Sachkosten bis zu 0,68 MioEuro 5
Bundesministeriums für Umwelt, Naturschutz, Bau und Reaktorsicherheit (BMUB): Personalkosten bis zu 0,24 Mio.Euro Sonstiges wie fachlichen Aufsichtsbehörden (Bundesamt für Güterverkehr, Eisenbahn- Bundesamt, Luftfahrt-Bundesamt, Bundesaufsichtsamt für Flugsicherung, Generaldirektion Wasserstraßen und Schifffahrt, Bundesamt für Seeschifffahrt und Hydrografie) nicht quantifizierbar. 5
http://www.kritis.bund.de/subsites/kritis/de/einfuehrung/einfuehrung_node.html Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Ineiner Rechtsverordnung wird noch festgelegt, welche Firmen / Institutionen als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes zu verstehen sind. Solange diese Rechtsverordnung nicht veröffentlicht ist, kann darüber keine verbindliche Aussage getroffen werden. Die im Gesetz genannten Fristen laufen ab dem Zeitpunkt der Veröffentlichung des Gesetzes. Ausdrücklich ausgenommen sind vom Gesetz die Institutionen der öffentlichen Verwaltung, des Justizwesens der Regierung und des Parlaments. Diese sind zwar kritische Infrastrukturen im Sinne der Kritis-Auflistung, jedoch NICHT im Sinne des Gesetzes. 6
Neben der dann obligatorischen Meldung von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheitbei den Betreibern solcher IT-Infrastrukturen branchenweit festgelegt. Dazu sollen die Branchen selbst solche Standards entwickeln, die dann vom BSI genehmigt werden. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen. 7
Das BSI soll die Meldungen sammeln und daraus auch öffentliche Warnungen ableiten. Gemeldet werden müssen: Angaben zur Störung, zu den technischen Rahmenbedingungen, zu vermuteten oder tatsächlichen Ursachen. Meldungen anonym für Sicherheitsvorfälle und namentlich bei drohendem Systemausfall. Frist: 1/2 Jahr nach Veröffentlichung des Gesetzes Für die Energiewirtschaft gibt es schon einen konkreten IT-Sicherheitskatalog. Dementsprechend haben Netzbetreiber ein ISMS zu implementieren, das den Anforderungen der DIN ISO/IEC 27001 in der jeweils geltenden Fassung genügt und mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, umfasst. http://www.bundesnetzagentur.de/shareddocs/downloads/de/sachgebiete/energie/un ternehmen_institutionen/versorgungssicherheit/it_sicherheit/it_sicherheitskatalog_08-2015.pdf;jsessionid=67d5e02fa62a95e3b6f23d1cf69c7445? blob=publicationfile&v =1 8
Keineswegs ist das IT-Sicherheitsgesetz nur für bedeutende kritische Infrastrukturen zu beachten. Es gibt eine wenig beachtete Änderung im Telemediengesetz, die zumindest in der Theorie alle Webseiteninhaber betrifft. Übersetzt ist das eine gesetzlich normierte Pflicht für jeden Webseitenbetreiber, zumindest dafür zu sorgen, dass bei eingesetzter Software aktuelle Updates immer eingespielt werden. Wer also ein WordPress-Blog betreibt oder einen OnlineShop, der wird nun gesetzlich verpflichtet sein, hier regelmäßige Updates zu installieren. Ein Verstoß wird Bußgeldbewehrt sein. Spannend wird es sein, ob die Rechtsprechung hier eine Marktverhaltensregel erkennen möchte, so dass Konkurrenten mangelhafte Updates abmahnen könnten. Ich tue mich schwer, auf Grund der aktuellen Tendenz der Rechtsprechung nahezu alles ins Wettbewerbsrecht hinein zu ziehen, hier voreilig eine Entwarnung auszusprechen. Es wird spannend sein, wann der erste Wettbewerber Abmahnungen an veraltete und damit ungesicherte Webshops verschickt versuchen wird es sicherlich jemand. 9
Der Kreis der Firmen / Institutionen die Erfüllungspflichten durch das IT- Sicherheitsgesetz auferlegt bekommen ist begrenzt. Firmen / Institutionen, die im Rahmen des Gesetzes keine Erfüllungspflichten auferlegt bekommen, müssen eine größere Anzahl von Gesetzen und Vorschriften beachten, die ebenfalls explizit oder implizit Vorschriften zur IT-Sicherheit auf diversen Ebenen enthalten, bzw. bei denen aus diversen Regelungen Pflichten zur IT-Sicherheit herleitbarsind. Diese Regelungen / Vorschriften sind teilweise auch Straf-bzw. Bußgeldbewehrt und beinhalten begründen eine persönliche Haftung von Vorständen bzw. Geschäftsführern. 10
Veröffentlichungspflicht für Datenschutz-Vorfälle und davon abgesehen: der elektronische Pranger! Beispiel: die Grundschule in Köln ist höchst wahrscheinlich nicht vom IT-Sicherheitsgesetz betroffen, aber.. Der Datenschutz muss gewahrt werden. 11
Das wesentliche Ziel des Datenschutzes ist die Wahrung der Rechte des Einzelnen auf die freie Entfaltung seiner Persönlichkeit. Das "Recht auf informationelle Selbstbestimmung" ist das Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Er kann beispielsweise Informationen über sich im Internet verbreiten; jedoch auch dagegen vorgehen, wenn dies gegen seinen Willen geschieht. Entsprechend hat der Gesetzgeber Bestimmungen in verschiedenen Gesetzen aufgenommen, wie mit personenbezogenen Daten umzugehen ist. So wird im Telekommunikationsgesetz (TKG), Telemediengesetz (TMG) oder in den Sozialgesetzbüchern (SGB) der Datenschutz thematisiert. Wo die Bestimmungen dieser Gesetze nicht greifen oder ausreichend formuliert sind, dient darüberhinausals Auffanggesetz das Bundesdatenschutzgesetz (resp. Landesdatenschutzgesetz). Das Bundesdatenschutzgesetz erfasst ausschließlich "personenbezogene" Daten, d.h. Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Das Bundesdatenschutzgesetz gilt für jedes Unternehmen, welches personenbezogene Daten verarbeitet; unabhängig von der Betriebsgröße. So ist das Unternehmen wie folgt verpflichtet: Jedem auf Antrag das Öffentliche Verfahrensverzeichnis (Jedermannverzeichnis) zur Verfügung zu stellen ( 4g (2) BDSG) 12
Technische und organisatorisch Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Dies geschieht durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Eingabekontrolle, Weitergabekontrolle, Auftragskontrolle, Trennungsgebot ( 9 BDSG). Mitarbeiter auf das Datengeheimnis zu verpflichten ( 5 BDGS) Dokumentation der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten ( 7 BDSG) Vertragliche Absicherung der externen Verarbeitung personenbezogener Daten ( 11 BDSG) Regeln aufzustellen für den sicheren Umgang mit personenbezogenen Daten Gesetze und Verordnungen berücksichtigen, um Bußgelder zu vermeiden Die Geschäftsleitung trägt dafür die persönliche Verantwortung. 12
Es geht bei dem Gesetz nicht nur Cyber-Security sondern IT-Sicherheit als ganzheitlicher Ansatz. 2 Jahre Zeit für die Umsetzung ab Verkündung des Gesetzes. Die Begriffe Angemessenheit und Stand der Technik wurde im Verlauf des Gesetzgebungsverfahrens sehr heftig diskutiert und ist einer der Hauptkritikpunkte. Die Referenten erlauben sich, dieses anders zu sehen und als einen sehr vernünftigen Ansatz zu betrachten. Damit wird kein starrer Katalog (wie z.b. der IT-Grundschutzkatalog des BSI) übergestülpt, sondern es besteht die Verpflichtung zum ANGEMESSENEN Handeln das dann gegebenenfalls begründet werden muss (BSI-Audits!). Stand der Technik: nicht genau definiert, aber ISO Normen werden als geeignet angesehen es läuft wohl auf ISO 27001 hinaus. Was sind angemessene Maßnahmen? Die vom Gesetz geforderte Angemessenheit impliziert, dass für einzelne Maßnahmen eine Risikoabwägung durchgeführt werden muss. Betrachtet werden muss die Wahrscheinlichkeit des Eintritts eines Schadensereignis in Relation zu dem Effekt des Schadensereignisses. Je nach Kombination von Wahrscheinlichkeit und Effekt werden entsprechend umfangreiche / dringliche Maßnahmen zur Risiko-Minimierung einzuleiten sein. Im Rahmen der Risiko- Minimierung muss dann der Aufwand für die jeweilige Maßnahme ermittelt werden und dieser Aufwand ist dann in Relation zur Auswirkung zu setzten. Aus diesen Überlegungen kann es dann zu angemessenen Maßnahmen der Risikovermeidung und der Risikominimierung mittels technischer und organisatorischer Maßnahmen kommen. 13
Gegebenenfalls kann eine Risikoabwälzung (Risikoverlagerung) z.b. durch Outsourcing de RZ-Betriebs an einen geeigneten Dienstleister (wie z.b. die SHE Informationstechnologie AG) in Betracht gezogen werden. Stehen die Aufwände für eine Risikominderung in keinem angemessenen Verhältnis zur Auswirkung, so kann auch eine komplette Übernahme des Risikos (gegebenenfalls durch Abwälzung an eine Versicherung) erwogen werden. Diese Möglichkeiten stellen aus der Sicht der Referenten einen sehr positiven Ansatz des Gesetzes dar. Letztendlich der guten Ordnung halber der Hinweis, dass durch alle Maßnahmen das Risiko zwar vermindert, aber nie zu 100% ausgeschlossen werden kann. 13
Sicherheit auf Datenbank-Ebene (an der Datenquelle) ---Beispiel Steuer-CDs ---interne Angreifer, die hinter dem Perimeter-Schutz sitzen, müssen auch abgewehrt werden. EinSchutz, der an der Quelle sitzt, der also die eigentlichen digitalen Assets vor Missbrauch schützt, ist naturgemäß wirksamer als jeglicher Perimeterschutz. Moderne Datenbanken (wie hier Oracle) bieten ein breites Feature-Set zur Verbesserung der Sicherheit und erschweren einen Bruch der Vertraulichkeit sehr. EinBeispiel für Datenbank basierte Sicherheit sind die Verschlüsselung von Daten für Backups, und Exporte, kombiniert mit einer nur teilweisen Entschlüsselung für Sachbearbeiter. Lediglich speziell autorisierte Bearbeiter können die komplett entschlüsselten Daten anzeigen und bearbeiten. Bei korrekter Verwendung können auch Datenbank-Administratoren die so verschlüsselten Daten nicht ohne extreme kriminelle Energie entschlüsseln. 14
Wenn IT-Systeme aufgebaut werden sollen, die den Anforderungen eines sicheren IT- Systems (entsprechend den durch das IT-Sicherheitsgesetz und dessen Durchführungsregelungen!) genügen sollen, so kann die SHE Informationstechonologie AG die dafür nötigen Komponenten liefern, implementieren und für den Kunden betreiben. Wenn der Kunde den Betrieb kritischer Rechenzentrums-Infrastrukturen nicht in eigenem Rechenzentrum vornehmen möchte, so kann dieser durch die SHE Informationstechnologie AG in deren Rechenzentrum (Klasse Tier4) erfolgen. 15
Die SHE Informationstechnologie AG liefert nicht nur die für den Aufbau und Betrieb sicherer IT-Infrastrukturen nötigen Komponenten, sondern unterstützt ihre Kunden nach entsprechender Beauftragung gerne bei der Vorbereitung für den Aufbau der durch das IT-Sicherheitsgesetz geforderten Managementstrukturen. Diese Unterstützung beschränkt sich jedoch nicht auf die Erfüllungspflichten für das IT-Sicherheitsgesetz sondern berücksichtigt auf Wunsch des Auftraggebers auch die gesetzlichen Erfüllungspflichten die sich aus anderen relevanten Gesetzen ergeben. Sichere IT-Systeme im Sinne des IT-Sicherheitsgesetz sind zugleich auch Robuste und wenig störanfällige Systeme. Robuste Systeme verursachen in aller Regel, bei einer vernünftigen und angemessenen Auslegung und Dimensionierung geringere Folgekosten als störanfällige Systeme. Diese Aussage gilt sowohl für die eigentlichen IT-System (technische Basis) als auch für die entsprechenden Management-Systeme (Verwaltung). 16
Für Rückfragen stehen Ihnen unsere Mitarbeiter gerne zur Verfügung. 17
18