Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Häufig gestellte
Fragen zum neuen
IT-Sicherheitsgesetz
Am 25. Juli 2015 trat das neue IT-Sicherheitsgesetz in Kraft. Ziel des Gesetzes ist
es, eine „signifikante Verbesserung der IT-Sicherheit in Deutschland zu erreichen“,
so die Begründung des Gesetzgebers. Darüber hinaus soll „der Schutz der Systeme
im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität,
Vertraulichkeit und Authentizität) verbessert“ werden, um den „aktuellen und
zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können“.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Das Gesetz ändert bereits bestehende Gesetze, wie beispielsweise das Gesetz über das
Bundesamt für Sicherheit in der Informationstechnik (BSIG) oder das Telemediengesetz
(TMG) und fügt jeweils Änderungen und Vorgaben hinsichtlich der Schaffung von
Mindeststandards in der IT-Sicherheit ein. Wir beantworten nachfolgend häufig gestellte
Fragen zur neuen Rechtslage und geben einen Überblick über die Neuerungen, die auf die
betroffenen Unternehmen zukommen.
Für wen gilt das Gesetz?
Das Gesetz gilt für Unternehmen, die auf der Grundlage des IT-Sicherheitsgesetzes
als Betreiber sogenannter „Kritischer Infrastrukturen“ angesehen werden. Kritische
Infrastrukturen sind die IT-Systeme, deren Ausfall oder Beeinträchtigung ernsthafte
Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere
schwerwiegende Folgen für das Allgemeinwohl haben würden. Dies gilt insbesondere,
aber nicht ausschließlich, für die im Gesetz bezeichneten Unternehmen aus den
nachfolgend genannten Bereichen:
• Energie (z.B. Elektrizität, Gas, Öl, alternative Energien …),
• Informationstechnik und Telekommunikation,
• Transport und Verkehr,
• Gesundheit (z.B. Krankenhäuser, Pharmahersteller, Labore …),
• Wasser (z.B. Wasserversorgung und Abwasserentsorgung),
• Ernährung,
• Finanz- und Versicherungswesen.
Darüber hinaus hat das neue IT-Sicherheitsgesetz Auswirkungen auf
Telekommunikationsunternehmen und Webseitenbetreiber. Auch für diese Unternehmen
werden die Anforderungen an technische Sicherheitsmaßnahmen erhöht, u.a. mit dem
Ziel, die Verbreitung von Schadsoftware einzudämmen und Kunden rechtzeitig vor
Sicherheitsproblemen zu warnen bzw. sie zu informieren.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Gilt das Gesetz auch für Behörden und
kommunale Einrichtungen?
Das Gesetz gilt nur für Bundesbehörden.
Woher weiß ich, ob mein Unternehmen eine
„Kritische Infrastruktur“ im Sinne des neuen
Gesetzes betreibt?
Zunächst gelten Unternehmen aus den oben bezeichneten und im Gesetz aufgeführten
Branchen als Betreiber kritischer Infrastrukturen. Welche Unternehmen jedoch im
Einzelnen als „Kritische Infrastrukturen“ – abgekürzt „KRITIS“ - definiert werden,
wird durch eine Rechtsverordnung festgelegt, die noch nicht in Kraft ist und zurzeit
im Bundesministerium des Innern erarbeitet wird. Ausgenommen sind lediglich
Kleinstunternehmen, d.h. Firmen mit weniger als 10 Mitarbeitern und weniger als 2
Millionen Euro Jahresumsatz. Für alle anderen Unternehmen der genannten Branchen ist
es jedoch möglich, dass sie als kritische Infrastruktur eingeordnet werden und die neuen
Anforderungen umsetzen müssen. Einzelne Ausnahmen und Spezialvorschriften gelten
u.a. für die Betreiber öffentlicher Telekommunikationsdienste oder Atomanlagen.
Bund und Länder haben sich auf eine Sektoren- und Brancheneinteilung
kritischer Infrastrukturen verständigt, die auf den Seiten des Bundesamtes für
Bevölkerungsschutz und Katastrophenhilfe veröffentlicht ist (http://www.bbk.bund.de/DE/
AufgabenundAusstattung/KritischeInfrastrukturen/kritischeinfrastrukturen_node.html).
Auch dort findet man erste Anhaltspunkte, ob das eigene Unternehmen zu den kritischen
Infrastrukturen zählt.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Was müssen Unternehmen tun, die zu den
„Kritischen Infrastrukturen“ gehören?
Unternehmen, deren Systeme den „KRITIS“ zugeordnet sind oder werden, sind durch
das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindestsicherheitsstandards für ihre
IT-Infrastruktur zu etablieren und aufrecht zu erhalten. Diese Mindeststandards müssen
jedoch erst einmal entwickelt werden; zuständig dafür ist das Bundesamt für die Sicherheit
in der Informationstechnik (BSI), das später dann auch die Tauglichkeit und Einhaltung der
spezifischen Maßnahmen bei und durch die Unternehmen überprüft.
Abgesehen von den zu entwickelnden Mindeststandards hat der Gesetzgeber für
Unternehmen aus dem Bereich der kritischen Infrastrukturen Grundzüge von speziellen
Anforderungen an die Informationssicherheit definiert, die von den Unternehmen eingehalten
werden müssen. So sind die betroffenen Unternehmen verpflichtet, organisatorische und
technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen
Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen
betriebenen Kritischen Infrastrukturen maßgeblich sind.
Die zu ergreifenden Sicherheitsmaßnahmen in der IT müssen „angemessen“ sein und
dem „Stand der Technik“ entsprechen. Angemessenheit heißt in diesem Fall, dass der
erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer
Beeinträchtigung der betroffenen „Kritischen Infrastruktur“ stehen darf. Bei der Definition
der Angemessenheit sind auch der nötige Aufwand und die damit verbundenen Kosten
zu berücksichtigen. Dadurch, dass bei kritischen Infrastrukturen im Grunde in fast allen
Fällen einer Beeinträchtigung der IT mit weitreichenden Folgen für das Unternehmen
und ggfls. auch die Allgemeinheit zu rechnen ist, sind die Anforderungen an die nötigen
Schutzmaßnahmen voraussichtlich eher hoch einzustufen. Die jeweils getroffenen
Maßnahmen müssen von den Betreibern in Sicherheits- und Notfallkonzepten niedergelegt
und die Umsetzung dokumentiert werden. Die Unternehmen sind verpflichtet, die Umsetzung
der vom Gesetz geforderten Sicherheitsmaßnahmen mindestens alle zwei Jahre durch
Audits oder Zertifizierungen nachzuweisen. Die Ergebnisse müssen an das BSI gemeldet
werden – einschließlich möglicherweise aufgedeckter Sicherheitsmängel. Das BSI kann im
Anschluss die Beseitigung der Mängel verlangen und diese prüfen. Die genaue Ausgestaltung
der Audits und Zertifizierungen wird nicht im Gesetz geregelt, sondern soll u.a. bereits
bestehende branchenspezifische Sicherheitsstandards berücksichtigen, wie beispielsweise
die ISO 27001 Norm für Rechenzentren und technische Dienstleister.
Weiterhin sind die Unternehmen verpflichtet, eine „Kommunikationsstelle“ aufzubauen,
die für die Kommunikation mit dem BSI über Sicherheitsangelegenheiten zuständig und
verantwortlich ist.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Welche Rolle hat das Bundesamt für die
Sicherheit in der Informationstechnik (BSI)?
Neben der Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung der ITSicherheit, der Untersuchung von Sicherheitsvorfällen und der Auditierung und Zertifizierung
kommt dem BSI mit dem IT-Sicherheitsgesetz zusätzlich die Rolle einer Art Stiftung
Warentest für Informationstechnik zu. Es soll „auf dem Markt bereitgestellte oder zur
Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte, Systeme und
Dienste“, wie es im Gesetz heißt, untersuchen. Die Ergebnisse dieser Untersuchungen dürfen
auch veröffentlicht werden, sofern dies für die Aufgabenerfüllung des BSI erforderlich sein
sollte. Außerdem kann das BSI den Einsatz bestimmter „Sicherheitsprodukte“ empfehlen.
Mit den neuen Möglichkeiten der Untersuchung von IT-Produkten im weiteren Sinne und
deren möglicher Empfehlung als „sicherheitsfreundlich“ geht als zweite Seite der Medaille
die Erlaubnis für das BSI einher, Warnungen an die Öffentlichkeit oder „betroffene Kreise“ zu
richten, wenn Sicherheitslücken, Schadprogramme oder auch Datenverluste bekannt werden.
Welche Meldepflichten bestehen für die
Unternehmen?
Die Ergebnisse der zweijährlichen Audits, Prüfungen oder Zertifizierungen zur IT-Sicherheit
in den vom IT-Sicherheitsgesetz betroffenen Unternehmen müssen an das BSI gemeldet
werden – einschließlich möglicherweise aufgedeckter Sicherheitsmängel, deren Beseitigung
das BSI im Anschluss verlangen kann.
Die oben bereits erwähnten Meldepflichten im Fall der Aufdeckung von Sicherheitsproblemen
im Rahmen von erfolgten Audits oder Zertifizierungen erfolgen in der Regel anonym.
Für den Fall, dass ein vollständiger Systemausfall droht, muss allerdings der Name des
Unternehmens an das BSI gemeldet werden. Die Nicht-Meldung solcher Sicherheitsvorfälle
kann mit Strafen von bis zu 100.000 Euro geahndet werden. Die zuständigen Behörden sollen
auf diese Weise in die Lage versetzt werden, eine verbesserte Einschätzung der aktuellen
Sicherheitslage vorzunehmen und die Möglichkeit erhalten, andere Unternehmen vor
vergleichbaren Angriffen zu warnen.
Wieviel Zeit haben Unternehmen für die Erfüllung
der Anforderungen?
Da die Etablierung von Sicherheitsmaßnahmen nicht innerhalb kurzer Zeit zu erledigen ist,
ist für die Einführung der geforderten Maßnahmen eine Übergangsfrist von zwei Jahren
vorgesehen, beginnend mit dem Inkrafttreten der Rechtsverordnung, aus der sich der Kreis
der konkret betroffenen Unternehmen ergibt.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Was droht bei Verstößen gegen das Gesetz?
Die Nicht-Beachtung der Verpflichtung zur Schaffung angemessener technischer und organisatorischer
Sicherheitsmaßnahmen oder der Vorgaben zur Meldepflicht von Sicherheitsvorfällen kann als
Ordnungswidrigkeit mit Bußgeldern in Höhe von 50.000 bis 100.000 EUR geahndet werden. Dies wird
aber auch erst der Fall sein, wenn die zweijährige Übergangsfrist zur Umsetzung der Maßnahmen
abgelaufen ist (vgl. den vorangegangen Absatz).
Woher wissen Unternehmen, was sie tun müssen?
Das Gesetz selber schreibt keine konkreten Maßnahmen vor. Der Gesetzgeber wählte zahlreiche
unbestimmte rechtliche Begriffe, die die von den Unternehmen zu treffenden Maßnahmen beschreiben:
„Angemessene Sicherheitsmaßnahmen“, „Stand der Technik“, „Mindeststandards“ und „Vorkehrungen
zur Vermeidung von Störungen“ sind einige Beispiele. Orientierung für die Ergreifung und Umsetzung
konkreter Maßnahmen in der Praxis können daher nur bereits bestehende anerkannte technische
Standards bieten, wie beispielsweise die der ISO 27000 Normenfamilie, auf die in der Begründung
des Gesetzes auch ausdrücklich Bezug genommen wird. Darüber hinaus sind branchenspezifische
Standards in der Entwicklung. So hat beispielsweise die Bundesnetzagentur (BNetzA) einen Katalog
von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen
Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht. Die entsprechende
Veröffentlichung mit dem Entwurfstext und weiteren Informationen findet sich auf der Webseite
der Bundesnetzagentur http://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/
Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html.
Das BSI selber hat Vorgaben zum „Sicheren E-Mail-Transport“ veröffentlicht, um ein weiteres Beispiel
zu nennen. Der Entwurf einer Technischen Richtlinie "Sicherer E-Mail-Transport" richtet sich an
Betreiber von E-Mail-Diensten und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, deren
Umsetzung für E-Mail-Diensteanbieter empfohlen wird, um einen sicheren Betrieb ihrer Angebote zu
gewährleisten (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.
html). Die Einhaltung der Anforderungen soll von einer unabhängigen Stelle zertifiziert werden, die im
Entwurf der Richtlinie jedoch noch nicht namentlich genannt ist.
Auf diese Weise werden im Laufe der Zeit branchenübliche Standards zur IT-Sicherheit entwickelt
werden, die von den einzelnen Unternehmen umgesetzt werden können. Bis dies für alle Branchen
geschehen ist, bieten die bereits bestehenden, allgemein akzeptierten, technischen Normen
Anhaltspunkte für Sicherheitsmaßnahmen in der IT und die Grundlage für Verbesserungen der eigenen
IT-Sicherheit.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Was können Unternehmen tun um die neuen Vorgaben
zu erfüllen?
Abgesehen von der Tatsache, dass viele Unternehmen noch nicht genau absehen können, ob sie zu
den „Kritischen Infrastrukturen“ gezählt werden und die neuen gesetzlichen Anforderungen erfüllen
müssen oder nicht, ist es durch die vielen offen formulierten Anforderungen im IT-Sicherheitsgesetz
eher schwierig einzuschätzen, welche Maßnahmen im Einzelfall tatsächlich gefordert sind. Hier kann
eine Risikoanalyse in Bezug auf die eigene IT-Infrastruktur Abhilfe schaffen, mit der Unternehmen
alle ihre Prozesse auf den Prüfstand stellen und unter dem Blickwinkel der Fragestellung betrachten:
Wo können Ausfälle vorkommen und warum? Wie können Ausfälle entstehen? Welcher Schaden
droht, wenn Ausfälle eintreten? Auf der Grundlage der Antworten können dann unternehmensund branchenspezifische Sicherheitsmaßnahmen festgelegt und umgesetzt werden. Dabei sollte
auch die Frage im Blick behalten werden, ob die eingesetzten (oder künftig einzusetzenden)
Sicherheitsmaßnahmen dem „Stand der Technik“ entsprechen, wie vom IT-SiG gefordert. Eine solche
Analyse sollten in jedem Fall Unternehmen vornehmen, die im weitesten Sinne zu den Betreibern
kritischer Infrastrukturen gezählt werden können oder aber eng mit solchen zusammenarbeiten. Die
Analyse und die anschließende Umsetzung von Sicherheitsmaßnahmen sind in jedem Fall lohnend
– geht es doch nicht in erster Linie um die Einhaltung von Gesetzen um der Einhaltung von Gesetzen
willens, sondern um die Absicherung der eigenen unternehmerischen Existenz. Mit einer guten
Vorbereitung ist somit einer doppelter Nutzen erfüllt und die Grundlage für die Erfüllung der möglichen
Pflichten aus dem neuen IT-Sicherheitsgesetz geschaffen.
Sophos Whitepaper Juni 2015
Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz
Wo erhalte ich weiterführende Informationen?
Weitere Informationen erhalten Sie z.B. auf der „Internetplattform zum Schutz Kritischer
Infrastrukturen“, die eine gemeinsame Initiative des Bundesamtes für Bevölkerungsschutz und
Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) darstellt
und eine Ergänzung zu den bereits bestehenden Internetauftritten beider Behörden ist.
http://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html
„Dieser Text wurde von PrivCom Datenschutz GmbH, Rechtsanwältin Dr. Bettina Kähler erstellt. Die
Sophos GmbH und Dr. Kähler weisen darauf hin, dass diese FAQ nur als Informationsangebot dienen und
eine Rechtsberatung im Einzelfall nicht ersetzen können und sollen. Insofern verstehen sich die Inhalte
ohne Gewähr auf Vollständigkeit und Richtigkeit“.
Stand dieser Information: 28. August 2015
PrivCom Datenschutz GmbH, Dr. Bettina Kähler
Weitere Informationen
Unter www.sophos.de/encryption erfahren
Sie, wie SafeGuard Encyption Ihr Unternehmen
bei der Einhaltung der Datenschutzvorschriften
unterstützen kann.
Kostenlos testen
Kostenlose Testversion unter
www.sophos.de/free-trials
Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen
und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten
sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen,
Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, Server, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs,
unserem weltweiten Netzwerk eigener Analysezentren. Weitere Infos unter www.sophos.de/produkte
Sales DACH (Deutschland, Österreich, Schweiz)
Tel.: +49 611 5858 0 | +49 721 255 16 0
E-Mail: [email protected]
Oxford, GB | Boston, USA
© Copyright 2015. Sophos Ltd. Alle Rechte vorbehalten.
Eingetragen in England und Wales, Nr. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB
Sophos ist die eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen
sind Marken oder eingetragene Marken ihres jeweiligen Inhabers.
2015-09-14 WP-DE (MP)