IT-Sicherheitsgesetz bringt deutlichen Aufwand für Meldewesen und Sicherheitsaudits – Meldungen aber anonym möglich
Von Dr. Flemming Moos

Beitrag als PDF (Download)

Bundesinnenminister de Maizière hat jüngst den Referentenentwurf eines IT-Sicherheitsgesetzes vorgestellt. Es ist ein wesentlicher Baustein der Digitalen Agenda und soll laut Innenminister helfen, dass die „IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden“. Es enthält Regelungen insbesondere zur Verbesserung der IT-Sicherheit bei Unternehmen. Gegenüber dem ersten Entwurf aus dem März 2013 sind Erleichterungen für die Industrie aufgenommen worden, die vor allem der BDI in einem Positionspapier zu Erwartungen der deutschen Industrie an ein IT-Sicherheitsgesetz formuliert hatte. Insbesondere können IT-Sicherheitsvorfälle nach dem novellierten Entwurf nun auf anonymisierter Basis gemeldet werden. Dennoch bringt das Gesetz deutlichen Mehraufwand für die betroffenen Unternehmen.

Anwendungsbereich noch unklar

Die wichtigsten Punkte für Unternehmen: Alle „Betreiber kritischer Infrastrukturen“ werden verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten sowie angemessene, wirksame technische und organisatorische Vorkehrungen zum Schutz von IT-Systemen, Komponenten und Prozessen zu treffen. Zweitens müssen sie an die Meldestruktur des Bundesamts für Sicherheit in der Informationstechnik (BSI) angeschlossen sein. Meldungen über IT-Sicherheitsvorfälle sind dabei auf anonymer Basis zugelassen. Dies hatte die Industrie zu Recht gefordert, weil sie andernfalls massive Reputationsverluste befürchtete. Schließlich müssen die verpflichteten Unternehmen alle zwei Jahre ein Sicherheitsaudit durchführen.

Welche Unternehmen betroffen sind, ist noch unklar – die Ausfüllung des Begriffs der „kritischen Infrastruktur“ bleibt einer Rechtsverordnung vorbehalten. Hierbei sollte vor allem auf eine maßvolle Begrenzung des Anwendungsbereichs auf wirklich sicherheitsrelevante Systeme geachtet werden. Dem Gesetzgeber schwebt vor, bei der Konkretisierung sowohl qualitative als auch quantitative Maßstäbe anzulegen. Es wird also entscheidend sein, ob eine für die Gesellschaft kritische Dienstleistung erbracht wird und welche konkreten Folgen ein Ausfall oder eine Beeinträchtigung hätte (ob also eine hinreichend große Personenzahl betroffen wäre). Entsprechende branchenspezifische Schwellenwerte sollen in der Rechtsverordnung festgelegt werden.

Fortschreibung branchenspezifischer Regelungen

In einigen betroffenen Branchen gibt es bereits heute aufgrund gesetzlicher Vorgaben sehr ausdifferenzierte IT-Sicherheitsarchitekturen, vor allem bei Finanzdienstleistern und Telekommunikations(TK)-Unternehmen. Auch Meldebestimmungen finden sich schon in einzelnen Branchen, neben der Telekommunikationswirtschaft etwa in der Energiewirtschaft nach entsprechenden Regelungen im Energiewirtschaftsgesetz. Zudem bestehen im Rahmen des sogenannten Umsetzungsplans KRITIS (UP KRITIS) zum Schutz kritischer Infrastrukturen ebenfalls bereits Meldeverfahren gegenüber Behörden und zwischen Unternehmen; von einer flächendeckenden Implementierung ist man aber derzeit noch weit entfernt. Deutlicher Umstellungsaufwand erwartet die betroffenen Unternehmen deshalb gerade beim Meldewesen und der Durchführung der Sicherheitsaudits. Sie sind in der vom Gesetz verlangten Regelmäßigkeit nicht in allen Branchen Standard.

Sonderregeln für TK- und Internetdienstanbieter

TK-Dienstanbieter sind schon bisher unter bestimmten Voraussetzungen verpflichtet, ein Sicherheitskonzept zu erstellen und Datensicherheitsverletzungen an die Bundesnetzagentur zu melden. Nach dem IT-Sicherheitsgesetz sollen diese Verpflichtungen ausgebaut werden. Unter anderem soll die Bundesnetzagentur ermächtigt werden, die Öffentlichkeit zu informieren, wenn sie zu dem Schluss gelangt, dass dies im öffentlichen Interesse ist – etwa damit Bürger Selbstschutzmaßnahmen gegen Viren ergreifen können.

Neu ist auch eine Verpflichtung von geschäftsmäßig tätigen Internetdienstanbietern, Nutzern von personalisierten Diensten ein hinreichend sicheres Authentifizierungsverfahren anzubieten, z.B. ein Signaturverfahren. In diesem Zuge soll auch eine weitere, längst überfällige Ergänzung im Telemediengesetz vorgenommen werden. Bisher fehlt eine Regelung (wie sie etwa im Telekommunikationsgesetz schon enthalten ist), wonach der Dienstanbieter Daten zum Erkennen und Beseitigen von Störungen erheben und verwenden darf. Es bestand deshalb rechtliche Unsicherheit, ob und wie Anbieter von Internetdiensten z.B. sogenannte Denial-of-Service-Attacken und andere Angriffe datenschutzkonform abwehren dürfen.

Umfassendes IT-Management schützt vor Haftung

Die Unternehmensleitung steht – gegenüber dem Unternehmen selbst – für die Etablierung eines hinreichenden, den gesetzlichen Anforderungen entsprechenden IT-Sicherheitsmanagements ein. Grad und Umfang des notwendigen IT-Sicherheitsmanagementsystems hängen vom individuellen Risiko ab, insbesondere von Schadenspotential und Eintrittswahrscheinlichkeit.

Es kann aber auch eine Schadenersatzhaftung des Unternehmens gegenüber Dritten wegen mangelnder IT-Sicherheit in Betracht kommen, zum Beispiel wegen Schäden aus mangelnder Datensicherung oder aus der Verbreitung von Viren resultieren.

Das IT-Sicherheitsgesetz erlaubt schließlich Sanktionen gegenüber Betreibern kritischer Infrastrukturen, die nicht die notwendige Zuverlässigkeit aufweisen. Mangelnde Zuverlässigkeit kann sich unter anderem aus einer Nichtbeachtung der IT-Sicherheitsvorgaben ergeben. Bei Telekommunikationsunternehmen etwa ist in solchen Fällen sogar eine teilweise oder vollständige Untersagung des Betriebs der betreffenden TK-Anlage oder des TK-Dienstes möglich.

Unternehmen sollten ein umfassendes IT-Sicherheitsmanagement einrichten, in das bei Verabschiedung des Gesetzes auch Maßnahmen zur Umsetzung der spezifischen Vorgaben des IT-Sicherheitsgesetzes einzubetten sind. Ein Konzept erschöpft sich nicht in der Festlegung einzelner technischer Maßnahmen, sondern definiert vor allem sicherheitsrelevante Rollen und Prozesse; etwa ein IT-Continuity-Management, Data-Loss-Prevention, unternehmensinterne Meldesysteme etc. Außerdem bedarf es einer Umsetzung durch geeignete Organisations- und Handlungsanweisungen gegenüber den verantwortlichen Mitarbeitern. Auf diese Weise lässt sich ein Organisationsverschulden der Geschäftsleitung vermeiden.

Umsetzungsfrist von zwei Jahren

Die Umsetzung der Vorgaben des IT-Sicherheitsgesetzes durch die Unternehmen erfordert eine Vorlaufzeit. Der Gesetzgeber plant deshalb, den Unternehmen hierfür eine Frist von zwei Jahren ab Inkrafttreten der begleitenden Rechtsverordnung zu setzen. Dies wird von Unternehmensseite bereits als zu kurz beanstandet; die Industrie fordert eine mindestens dreijährige Umstellungsfrist. Angesichts der Zahl und Komplexität der vom Gesetz verlangten Maßnahmen sollten Unternehmen die Umsetzung der Vorgaben nicht auf die lange Bank schieben und damit beginnen, wenn das IT-Sicherheitsgesetz in Kraft getreten ist.

Flemming.moos@osborneclarke.com

12 replies on “Eckpfeiler der Digitalen Agenda”

Comments are closed.

Aktuelle Beiträge