Aktuelles zum IT-Sicherheitsgesetz

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten EntwĂŒrfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklĂ€rt und festgelegt werden mĂŒssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft fĂŒr Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natĂŒrlich auch sehr gefreut ;-).

Zu Gast war das Bundesamt fĂŒr Sicherheit in der Informationstechnik BSI (nicht zu verwechseln mit dem Sponsor der Veranstaltung BSI Group: British Standards) vertreten durch Herrn Martin Apel , Herr Boban Krisc von der DENIC eG als betroffenes Unternehmen sowie Frau Jana Ehlers von SRC GmbH, die von der Entwicklung des Branchenstandards der privaten Banken berichten konnte.

Herr Apel vom BSI stellte den Fahrplan der Umsetzung der Rechtsverordnungen sowie die geklÀrten und offenen Punkte bei der Ausgestaltung der Rechtsverordnungen vor. Geduldig stellte er sich den zahlreichen Fragen des Publikums.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz. Es ist kein eigenstÀndiges Gesetz sondern Àndert andere Gesetze. Hierzu zÀhlt in erster Linie das BSIG. Mit der Umsetzung des IT-Sicherheitsgesetzes ist auch ein Personalaufbau beim BSI verbunden, wobei dieser geringer ausgefallen sei als geplant bzw. beantragt.

Die Erstellung der Rechtsverordnungen zur konkreten inhaltlichen Ausgestaltung des IT-Sicherheitsgesetzes ist in zwei Lose aufgeteilt:

  • Los 1: Energie, IT+TK, ErnĂ€hrung und Wasser
  • Los 2: Finanzen Transport + Verkehr, Gesundheit.

Die Rechtsverordnung fĂŒr Los 1 sollen im 1. Quartal 2016 abgeschlossen sein. Los 2 folgt Ende 2016.

Die beiden spannenden Fragen sind natĂŒrlich, welche Unternehmen betroffen sein werden und welche Anforderungen auf diese Unternehmen zukommen.

Grundlage fĂŒr die Bestimmung der kritischen Dienstleistungen sind die Sektorstudien, die je Branche von Unternehmensberatungen erstellt wurden bzw. noch werden. Auf dieser Grundlage werden kritische Dienstleistungen, Einrichtungen und Anlagen identifiziert. Es werden also nicht ganze Unternehmen den Anforderungen des IT-Sicherheitsgesetzes unterliegen, sondern lediglich die jeweils kritischen Dienstleistungen und Anlagen. Ausgenommen sein können unkritische Bereiche wie Finanzen oder Vertrieb. Hierbei wird auch mit berĂŒcksichtigt, welche Relevanz die Dienstleistung fĂŒr die Versorgung hat. Dies kann zum Beispiel die Anzahl der versorgten Haushalte sein. Unternehmen, die ein GrĂ¶ĂŸen- oder Relevanzschwelle unterschreiten, unterliegen nicht den Anforderungen des Gesetzes. Dies muss jedes Unternehmen fĂŒr sich selbst prĂŒfen.

Spannend bleibt das Thema Outsourcing. Inwieweit das BSI davon ausgeht, dass das auslagernde Unternehmen seine Dienstleister in die Pflicht nimmt oder das BSI selbst die Einhaltung der Vorgaben ĂŒberprĂŒft, bleibt noch offen. Eine spannende Frage natĂŒrlich auch fĂŒr die zahlreichen Serviceprovider der betroffenen Unternehmen.

Die zweite spannende Fragestellung richtet sich nach den Anforderungen und damit dem “Stand der Technik”.

ZunĂ€chst einmal geht das BSI von einem “all-hazard”-Ansatz aus. Es sind alle Risiken zu berĂŒcksichtigen hinsichtlich der drei Schutzziele IntegritĂ€t, Vertraulichkeit und VerfĂŒgbarkeit. Business Continuity Management ist damit ein zwingender Bestandteil zur Einhaltung des IT-Sicherheitsgesetzes! Wir werden also auch im BCM noch viel zu tun bekommen.

Branchen können fĂŒr die Branchenstandards auf bestehende Standards und Normen zurĂŒckgreifen oder eigene Branchen-Sicherheitsstandards erstellen. Diese Standards mĂŒssen hierbei nicht zwingend (ISO-) Normen sein.

Die Einhaltung der Standards wird durch Audits ĂŒberprĂŒft. Das BSI wird hierzu Beratungs- und PrĂŒfungsunternehmen einsetzen.

Das BSI stellt allerdings klar heraus, dass die Norm ISO 27001 fĂŒr die Einhaltung der gesetzlichen Anforderungen nicht ausreichend ist. Eine Akzeptanz der identifizierten Risiken ist nicht das erklĂ€rte Ziel, sondern ganz klar die Verringerung.

Die Meldung von Störungen und AusfĂ€llen ist bereits am weitesten konkretisiert und steht mit einer Frist von sechs Monaten nach der Rechtsverordnung auch zeitnah an. FĂŒr die Umsetzung der Mindeststandards gibt es eine Frist von zwei Jahren.

Herr Krsic von der DENIC zeigte die konkrete Umsetzung des IT-Sicherheitsgesetzes  fĂŒr sein Unternehmen auf. Die Branche und das DENIC stĂŒtzen sich bei der Umsetzung des IT-Sicherheitsgesetzes in erster Linie auf Normen. Dies sind die 27x -Normen fĂŒr Informationssicherheit (ISO 27001, -2, -5, -15) sowie 22301 ergĂ€nzt um BSI 100-4 (BIA) fĂŒr das Business Continuity Management. ErgĂ€nzt werden die Normen um Cobit 5 fĂŒr die Controls.

Frau Ehlers von der SRC GmbH stellte die Umsetzung des IT-Sicherheitsgesetzes bei den privaten Banken vor. Der Verband der privaten Banken wird einen eigenen Branchenstandard entwickeln. Das BSI hat hierzu Vorgaben entwickelt, was diese Branchenstandards zu beinhalten haben. Im Finanzdienstleistungsbereich sind  aufgrund der weit verteilten Kettenglieder der Wertschöpfungsketten noch viele Fragen zu klĂ€ren. Am Beispiel der Kartenabwicklung im Zahlungsverkehr war dies eindrucksvoll nachzuvollziehen. Und dann gibt es dann ja auch noch die öffentlichen Banken und Sparkassen in der Branche ….

So, das war eine Zusammenfassung auf Basis meiner Notizen und dem nachlassenden GedĂ€chtnis – also ohne GewĂ€hr. FĂŒr ErgĂ€nzungen und Korrekturen bin ich sehr dankbar. Vielen Dank an die Mitglieder der Gesellschaft fĂŒr Informatik, die diese tolle Veranstaltung auf die Beine gestellt haben!

Und mein Fazit:

Ich war gerade zwei Tage in London auf der BCI World Conference. In Großbritannien wird gerade gemeinsam mit den USA eine große Übung durchgefĂŒhrt. Das Übungs-Szenario ist eine Cyber-Attacke auf den Finanzdienstleistungsbereich. Tests und Übungen kommen im IT-Sicherheitsgesetz ĂŒberhaupt nicht vor. Dabei wĂ€ren gerade brancheninterne und branchenĂŒbergreifende Übungen das einzige Mittel, um festzustellen, wie widerstandsfĂ€hig die kritischen Infrastrukturen sind. Schade eigentlich, dass diese Chance jetzt verpasst wird.

One Response

  1. torstenzacher

    Matthias HĂ€mmerle hat recht. Leider wird das Thema IT SG sehr hĂ€ufig als reines IT Thema verstanden. Aber wie sollen Prozesse weitergefĂŒhrt werden, wenn nicht ein BCM implementiert und erfolgreich regelmĂ€ĂŸig getestet wird?
    BCM mit Tests und Übungen oder auch KrisenstabsĂŒbungen sind zwingend erforderlich.

Schreibe einen Kommentar

Zur Werkzeugleiste springen