Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet
Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. In der Darstellung der Problemstellung wird ausgeführt, dass das IT-Sicherheitsniveau bei Kritischen Infrastrukturen sehr unterschiedlich ausgeprägt sei. Es gibt Branchen, die nicht genannt werden, mit hohen regulatorischen Anforderungen gegenüber Branchen, in denen die Maßnahmen nur rudimentär entwickelt seien.
Zu den Maßnahmen zählt die lange sehr umstrittene Meldepflicht von Sicherheitsvorfällen an das BSI sowie die neue Rolle des BSI in der Beratung und Unterstützung von Unternehmen „auf Ersuchen“.
Die Telekommunikations- und Telemediendiensteanbieter werden in die Pflicht genommen, ihre Systeme stärker gegen unerlaubte Zugriffe zu schützen. Dieser verstärkte Schutz und die damit verbundene Erfassung der Nutzung hat den Widerstand der Datenschützer auf den Plan gerufen. Telekommunikationsanbieter werden zudem in die Pflicht genommen, Nutzer über Schadprogramme zu informieren und ihnen Hilfsmittel zur Erkennung und Beseitigung an die Hand zu geben.
Die neuen Befugnisse und Verantwortlichkeiten des BSI, BBK, BKA und BfV schlagen sich in einem höheren Personalbedarf für diese Aufgaben nieder. Für das BSI sind insgesamt 133 neue Planstellen vorgesehen (BBK: 9, BKA: 79, BfV: 55).
Spannend ist nun natürlich die Frage, welche Unternehmen und Organisationen zu den Kritischen Infrastrukturen zählen und von dem neuen Gesetz betroffen sein werden.
Der Gesetzesentwurf führt hierzu aus:
„Das Bundesministerium des Innern bestimmt nach Anhörung von Vertretern der Wissenschaft, betroffener Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundeministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit durch Rechtsverordnung die Kritischen Infrastrukturen nach § 2 Absatz 12.” § 2 nimmt Kommunikationstechnik und Kleinstunternehmen von den Kritischen Infrastrukturen aus.
Im Rahmen des der Gesetzgebung wird es also eine Festlegung geben, welche Unternehmen und Organisationen zu den betroffenen Kritischen Infrastrukturen gehören. Dies wird sicherlich ein spannender Prozess werden.
Doch welche Pflichten kommen diesen ausgewählten Unternehmen nun zu?
BC Manager haben sich bei der Lektüre des Gesetzesentwurfes vielleicht schon etwas gemütlich zurückgelehnt. Denn in einem IT-Sicherheitsgesetz sollte ja auch das drin sein, was drauf steht: IT-Sicherheit. Doch bei den Verpflichtungen der Kritischen Infrastrukturen ist der BC Manager spätestens beim Wörtchen “Prozesse” schlagartig hellwach. Und dieses magische Wörtchen lässt auch nicht lange auf sich warten: “Betreiber Kritischer Infrastrukturen sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz der derjenigen informationstechnischen Systeme, Komponenten oder Prozesse [Hervorhebung durch den Autor] zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.”
Die Auslagerung der IT ist dabei kein probates Heilmittel:
“Die Notwendigkeit, angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zu treffen, besteht auch dann, wenn Unternehmen ihre IT durch Dienstleister betreiben lassen.”
Hört sich für mich nach MaRisk für die Kritischen Infrastrukturen an. Branchen dürfen branchenspezifische Sicherheitsstandards vorschlagen. Das BSI kann diese Branchenstandards anerkennen. Es genügt jedoch nicht nur, diese Maßnahmen innerhalb der gesetzten Frist von zwei Jahren umzusetzen:
“Zur Überprüfung der organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen nach Absatz 1 haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen suf geeignete Weise nachzuweisen.” “Das Bundesamt kann bei Sicherheitsmängeln eine Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse verlangen.” Damit erhält das BSI eine Rolle, die im Finanzdienstleistungsbereich bislang nur die Finanzdienstleistungsaufsichtsbehörden Bundesbank und BaFin haben.
Was wird das BSI im Rahmen seiner neuen Pflichten nachweisen lassen?
“Generell soll geprüft werden, ob der Betreiber die für seine Branche und Technologie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt, ein Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.) betreibt, kritische Cyber-Assets identifiziert und managt, Maßnahmen zur Angriffsprävention und -erkennung betreibt und ein Business Continuity Management (BCM)[Hervorhebung durch den Autor] implementiert hat und darüber hinaus die branchenspezifischen Besonderheiten (z.B. verankert durch den jeweiligen branchenspezifischen Sicherheitsstandard, sofern ein solcher erstellt und anerkannt wurde) umsetzt.” Die Kontrolle der Einhaltung der Erfordernisse kann über etablierte Prüfmechanismen, zum Beispiel Wirtschaftsprüfer, erfolgen.
Damit das BSI seine Rolle als zentrale Meldestelle wahrnehmen kann, müssen die Unternehmen der Kritischen Infrastrukturen sechs Monate nach Inkrafttreten der Rechtsverordnung Warn- und Alarmierungskontakte benennen, die bei Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse Meldungen an das BSI geben und erreichbar sind. In das Alarmierungs- und Kommunikationssystem ist also zwingend das BCM einzubinden. Das Meldewesen ist zweistufig aufgebaut. Beeinträchtigungen von informationstechnischen Systemen, Komponenten oder Prozessen, die noch nicht zu Ausfällen oder Beeinträchtigungen der Kritischen Infrastruktur führen, müssen unverzüglich aber ohne Nennung des Betreibers gemeldet werden. Bei eintretenden Beeinträchtigungen oder Ausfällen ist zusätzlich der Betreiber zu benennen.
Fazit:
Was als IT-Sicherheitsgesetz zunächst einmal im Mantel der Regelung für die IT-Sicherheit daherkommt hat über die Einbeziehung der Prozesse massive Auswirkungen auf das Business Continuity Management. Eine starke Verzahnung von IT-Sicherheit und BCM wird sicherlich die Folge sein (müssen), um zum Beispiel die Ansprechpartner und Meldewege konsistent zu halten. Neben den bestehenden Aufsichtsbehörden kommt jetzt noch das prüfende Auge des BSI hinzu. Unternehmen sind gezwungen sich so auditierbar zu organisieren, dass neben dem Prüfungsgeschehen das Tagesgeschäft nicht zum Erliegen kommt. Ein Effekt, den die bereits stark geprüften Banken vehement reklamieren. Für die noch nicht so stark reglementierten Branchen der Kritischen Infrastrukturen gibt es jetzt konkrete Termine für die Implementierung der Maßnahmen. Ein Zeithorizont von zwei Jahren lässt dabei keinen gemächlichen Start zu, sondern zwingt zum sofortigen Handeln. Für das Informationssicherheitsmanagement und BCM wird es aus dem Gesetz sicherlich einen neuerlichen Umsetzungsschub geben. Und genau das ist vom Gesetzgeber so gewollt.
Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet, ist dass BCM endlich anfangen muss, sich von der selbstgenügsamen Nabelschau zu lösen und auch das Umfeld, in dem es steuern will, stärker in den Fokus zu rücken. Matthias Hämmerle hat absolut Recht: dieses neue Gesetz wird massive Auswirkungen auch auf das BCM haben. Schon lange sind wir im Gespräch über integrierte Managementsysteme, siehe PAS 99, aber die bisherigen Ansätze bezogen sich traditionell auf ISO 9001 Qualitätsmanagement, ISO 14001 Umweltmanagement, BS OHSAS Arbeitsschutzmanagement, ISO/IEC 20000 IT-Servicemanagement, ISO 22000 Lebensmittelsicherheitsmanagement und schließlich auch auf den IS0/IEC 27001 Informationssicherheitsmanagement.
Es gibt aber auch bereits Ansätze, BCM mit dem Risikomanagement, der Informationssicherheit und dem IT-Servicemanagement auf Basis der ISO Standards zu integrieren und so diese Querschnittsbereiche im Unternehmen oder in schutzwürdigen Organisationen in einem ganzheitlichem Vorgehen zu integrieren. Dies bietet sich auf Basis der 27000 Serie geradezu an. Das Risikomanagement auf Basis der Informationssicherheit im ISO 27005 ist sehr viel näher an den Anforderungen an ein BCMS als der doch sehr abstrakte ISO 31000. Wieso werden eigentlich vom Risikomanagement nicht die Ausfallschadensbewertungen auf Prozessebene (finanzielle und Reputationsschäden, Complianceverletzungen) vorgenommen? Es besitzt hierfür ein viel ausgefeilteres Instrumentarium. Vom ISO 27005 aus geht der Informationsfluss sowohl in den ISO 27001 für die Präventivmaßnahmen zum Grundschutz und zum erhöhten Schutzbedarf der Primary Assets, als auch in den ISO 22301 für die BCM Maßnahmen zur Reduzierung der Ausfallzeit und der Schadenswirkung – die beide wiederum über die BIA eng miteinander verzahnt sind. Der ISO 22301 schließlich ist auf der Output Seite mit der ISO 27031 Information and communiation technology readiness for business continuity, dem vormaligen ITSCM Standard, verbunden, über den die Anbindung an das IT Service Management des ISO 20000 gegeben ist. Über die Servicelevel für IT und non-IT Ressourcen und die BIA-Gapanalyse, die Anforderung gegen die vereinbarte Realisierung abgleicht – einer der wichtigsten Bestandteile des BCM seit alten Heine&Partner Zeiten – schließt sich sodann wieder der Kreis zum Risikomanagement.
Auch im ISMS der ISO 27000er Serie werden, was viele BCMler immer noch nicht zur Kenntnis nehmen, Prozesse unter die besonders schutzwürdigen “Primary Assets” gefasst, sind somit Kernbestandteil auch des ISMS. Ebenso unbeachtet blieb ja auch, dass im ISO 22301 als Weiterentwicklung vom BS25999 jetzt auch die “Information Assets” Eingang fanden. Die Verklammerung ist auf Standardebene schon längst gegeben – im neuen ISO 27001/27002 werden deswegen auch keine Controls zu BCM mehr definiert, sondern zur Umsetzung auf den ISO 22301 verwiesen. Traurig ist nur, dass die BCM Basis diese Weiterentwicklung im konzeptionellen Überbau der ISO Standards noch nicht nachvollzieht. Eine der wenigen bemerkenswerten Ausnahmen hierzu ist der von meinem Freund und Kollegen Gunnar Münch seit Jahren vorangetriebene Integrative Ansatz.
Dass jetzt das neue IT-Sicherheitsgesetz Druck auf eine Weiterentwicklung, eine stärkere Integration von Risikomanagement, BCMS, ISMS, Physical and IT Security erzeugen kann, sollte von allen begrüßt werden, die sich nicht genügsam in ihrer ökologischen Nische eingerichtet haben.