IT-Sicherheitsgesetz 2.0: Neuregelungen für Kritis-Betreiber

Das IT-Sicherheitsgesetz wird überarbeitet, um Kritis künftig noch besser zu schützen. Denn der Großteil der bekannten IT-Sicherheitslücken ist seit mindestens einem Jahr bekannt. Dies belegen Studien wie der Data Breach Investigations Report von Verizon, demzufolge sogar 99,9 % aller ausgenutzten Schwachstellen schon seit zwölf Monaten oder länger bestehen. Wer Schaden anrichten möchte, hat ein leichtes Spiel. Bedrohlich wird es da, wo öffentliche Einrichtungen betroffen sind, wie etwa Krankenhäuser, Energieversorger, Staat und Verwaltung oder Transportunternehmen. Die Gefahr durch Cyberangriffe auf die öffentliche Infrastruktur nimmt seit Jahren zu, und mögliche Folgeszenarien sind düster. Aus diesem Grund befördert die Bundesregierung nun das bereits seit 2015 geltende IT-Sicherheitsgesetz überarbeitet auf die Zielgerade des Gesetzgebungsprozesses. Die Einführung und Umsetzung eines unternehmensweiten IT-Sicherheitskonzepts ist langwierig und ressourcenintensiv. Kritis-Betreiber sollten es deswegen bereits jetzt auf den Weg bringen.

Ziel des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetzes 2.0 oder IT-SiG 2.0) ist kein geringeres, als die IT-Infrastruktur in Deutschland zu den sichersten der Welt zu machen. So sind Betreiber von Kritis bereits heute dazu verpflichtet, ein Mindestmaß an IT-Sicherheit zu gewährleisten und ihre IT-Systeme am Stand der Technik auszurichten. Durch branchenspezifische Sicherheitsstandards (B3S) werden die Anforderungen dafür definiert. Dass Kritis-Betreiber diese erfüllen, müssen sie alle zwei Jahre mithilfe entsprechender Formulare gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Außerdem umfasst ein Mindestmaß an IT-Sicherheit die Benennung eines Sicherheitsbeauftragten sowie die unverzügliche Meldung von Störungen an das BSI. Die Sektoren der Kritis schließen Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie die Wasserversorgung ein. Neu hinzu kommt mit dem IT-SiG 2.0 der Bereich der Abfallwirtschaft. Außerdem wird die neue Kategorie der „Infrastrukturen im besonderen öffentlichen Interesse“ eingeführt, welche die Rüstungsindustrie, die Bereiche Kultur & Medien sowie Anlagen und Systeme umfassen, deren Beeinträchtigung zu Schäden bei Unternehmen aus dem Bereich der Prime Standards der Frankfurter Börse führen würden. Diese Kategorie zählt zwar nicht zu den Kritis, wird aber hinsichtlich der Verpflichtungen so behandelt.

Im Wesentlichen müssen sich Kritis-Betreiber auf vier Neuerungen einstellen: Eine Angriffserkennung muss eingeführt und der Einsatz vertrauenswürdiger Kritis-Komponenten nachgewiesen werden. Außerdem sind eine drastische Erhöhung der Bußgelder sowie die Ausdehnung der Befugnisse des BSI zu erwarten.

• Optimierte Angriffserkennung
  Kritis-Betreiber müssen mit Inkrafttreten des IT-SiG 2.0 eine Angriffserkennung umsetzen und damit sicherstellen, dass sie neben einer Anti-Viren-Lösung und einer Firewall zusätzlich ein System implementieren, welches sie automatisiert und in Echtzeit über Sicherheitsausfälle informiert. Für Kritis-Betreiber kommt dazu etwa ein IDS/ IPS (Intrusion Detection/ Prevention System) oder ein Security Information und Event Management (Siem) infrage. Dabei wird davon ausgegangen, dass relevante Daten über die Sicherheit einer Firma an verschiedenen Stellen anfallen. Es ist jedoch ratsam, alle Daten zentral zu sammeln, da so vom üblichen Schema abweichende Muster besser zu erkennen sind.
• Regeln für Hersteller von IT-Produkten
  Neben den Betreibern Kritischer Infrastrukturen müssen zukünftig auch Zulieferer und Hersteller von Kritis-Kernkomponenten die Standards des BSI erfüllen und dies nachweisen. Auf diese Weise wird sichergestellt, dass die gesamte Zuliefererkette der Kritis-Komponenten die geforderten Sicherheitskriterien erfüllt.
• Erhöhung von Bußgeldern
  Entsprechend der EU-DSGVO wird das bislang maximale Bußgeld von 100.000 Euro auf 20.000.000 Euro oder vier Prozent des weltweiten Unternehmensumsatzes erhöht. Außerdem wird die Liste der Tatbestände erweitert, bei denen ein Bußgeld verhängt werden kann.
• Erweiterte Befugnisse des BSI
  Das BSI kann in Zukunft bereits im Verdachtsfall eines unzureichenden Schutzes öffentlicher IT-Systeme von Kritis-Betreibern eigenständig und ohne vorherige Ankündigung Maßnahmen zur Aufspürung von Sicherheitslücken umsetzen. Wie ein Angreifer kann das BSI dann in die möglicherweise bedrohten Systeme eindringen, um die Betreiber über etwaige Gefahren zu informieren.

Unter Berücksichtigung des jeweiligen unternehmerischen Kontextes kann selbst die minimale Umsetzung der im IT-SiG 2.0 gestellten Anforderungen eine enorme wirtschaftliche Mehrbelastung für Betreiber bedeuten. Eine ressourcenschonende Variante ist es, externe Dienstleister mit der notwendigen Erfahrung und dem technischen Know-how zu beauftragen. Welche Schritte sollten Kritis-Betreiber also im Vorfeld des IT-SiG 2.0 gehen? Zunächst sollte sich jeder Betreiber die folgenden Fragen stellen:

• Wie ist das Unternehmen im Bereich der IT-Sicherheit aufgestellt?
• Sind die kritischen und systemrelevanten Prozesse bezüglich der neuen Anforderungen ausreichend abgesichert?
• Was wird zusätzlich benötigt?
• Mit welchen Maßnahmen ist das geforderte Sicherheitsniveau zu erreichen?

Auch wenn bisher noch nicht alle Kritis-Betreiber die strengen Auflagen des BSI erfüllen müssen, ist es grundsätzlich sinnvoll, in die IT-Sicherheit zu investieren. Dabei amortisieren sich die anfallenden Kosten schnell, bedenkt man die wirtschaftlichen Schäden, welche ein kritischer Vorfall nach sich ziehen würde. Zur Absicherung ihrer kritischen und systemrelevanten Prozesse sollten Kritis-Betreiber deswegen frühzeitig ein Information Security Management System (ISMS) sowie eine Notfallplanung einführen und diese fortlaufend optimieren.

Die Einführung eines ISMS erfolgt nach der Plan-do-check-act-Methode (PDCA). Ein PDCA-Zyklus ist ein wirksames Vorgehen zur Optimierung von Prozessen und wird in vielen Unternehmensbereichen regelmäßig angewendet. Zur Optimierung der IT-Sicherheit wird im Rahmen von Workshops und anhand einer unternehmensspezifischen Gewichtung der Säulen Vertraulichkeit, Integrität und Verfügbarkeit zunächst definiert, welche Sicherheitsniveaus erreicht werden sollen. Anschließend werden Szenarien durchgespielt, die deren Erreichen verhindern könnten. Im Anschluss werden Maßnahmen zusammengestellt, mit denen etwaige Risiken vermieden werden können. Schließlich müssen Maßstäbe zur Validierung der Methodenwirksamkeit festgelegt werden. Ein zentraler Aspekt bei allen Schritten ist der Mensch. Deswegen muss das Thema Social Engineering, also die Berücksichtigung der Mitarbeiter als potenzielle Opfer von Betrugsvorgängen, bei der Einführung eines ISMS eine zentrale Rolle spielen. Dabei müssen im ISMS klare Zuständigkeitsbereiche festgelegt werden, so dass im Ernstfall jeder weiß, was zu tun ist. Erst ganz am Ende dieser Planungsaufgaben steht die Umsetzung der Maßnahmen.

Neben einem ISMS ist es zur Erfüllung der Anforderungen durch das IT-SiG 2.0 für Kritis-Betreiber wichtig, eine Notfallplanung auf den Weg zu bringen. Sie definiert kritische Ereignisse und Prozesse und legt fest, welche Maßnahmen wann und in welcher Reihenfolge durch wen ergriffen werden müssen. Typische Notfälle sind beispielsweise der Ausfall von IT-Systemen, Hacker-Angriffe, Personalausfall, der Ausfall von Gebäuden und Dienstleistern oder höhere Gewalt und Naturkatastrophen. Als konkretes Ausfallszenario findet sich in vielen Notfallhandbüchern ein Stromausfall, der einen kritischen Serverausfall zur Folge hat. Zur Notfallplanung müssen sich Kritis-Betreiber bei einem solchen Vorfall eine Reihe von Fragen stellen: Ist ein Notstromaggregat vorhanden? Soll der Server in einem externen Rechenzentrum wieder hochgefahren werden? Gibt es Server an unterschiedlichen Standorten, die bei Ausfall einspringen können? Welche Ausfallzeit können unsere Prozesse verkraften? Was hat den Stromausfall hervorgerufen? Wer ist zuständig für welchen Prozess? Darauf aufbauend können dann konkrete Maßnahmen und Zuständigkeiten festgelegt werden. Analog ist das Vorgehen für weitere Szenarien, die in der Notfallplanung definiert werden.

Die Verabschiedung des IT-SiG 2.0 ist zeitlich noch nicht absehbar, und auch dann haben Kritis-Betreiber eine Übergangsfrist, bis alle Anforderungen umgesetzt sein müssen. Die zeitlichen und personellen Ressourcen bei der Einführung eines IT-Sicherheitskonzepts sollten Betreiber von Kritis jedoch nicht unterschätzen. Dabei ist ein IT-Sicherheitskonzept mit zeitlichem Vorlauf wirksamer als eines, das in letzter Minute auf den Weg gebracht wird. Die Betreiber müssen neben allen gesetzlichen Vorgaben vor allem aber in IT-Sicherheit investieren, bevor ein zerstörerischer Cyberangriff sie dazu zwingt und ihre Infrastruktur mit verheerenden Folgen lahmlegt. Und auch wenn der Referentenentwurf bisher noch zentrale Fragen offenlässt, verdeutlicht er einmal mehr die Bedeutung der IT-Sicherheit.

Fällt die Entsorgung über einen längeren Zeitraum aus, zieht dies unter anderem schwerwiegende gesundheitliche Folgen der Bevölkerung nach sich. Deswegen werden Entsorger mit Einführung des IT-SiG 2.0 in die Liste der Sektoren mit Kritis aufgenommen.

Was müssen Entsorger mit Inkrafttreten des IT-SiG 2.0 tun?

• ISMS mit Notfallplanung erstellen,
• IT-Sicherheitsbeauftragten benennen,
• Stand der Technik in der IT regelmäßig nachweisen,
• IT-Störungen unverzüglich dem BSI melden.

Marco Gräf, Teamleiter Vertrieb und Kommunikationsinfrastruktur, Q-Soft GmbH