Das IT-Sicherheitsgesetz – Was heißt „Stand der Technik“?

Vor einem Jahr wurde das IT-Sicherheitsgesetz verabschiedet. Neben solchen  Anforderungen, wie dem "Betreiben einer Kontaktstelle" und der "Meldung (erheblicher) Sicherheitsvorfälle" werden die Betreiber sogenannter "kritischer Infrastrukturen" (KRITIS) darin verpflichtet, Maßnahmen nach dem "aktuellen Stand der Technik" zu ergreifen. Aber was heißt "Stand der Technik" konkret?

Was steht im Gesetz?

Der relevante Absatz im Gesetz ist wie folgt formuliert:

„§8a(1) Betreiber Kritischer Infrastrukturen sind ver-
pflichtet, … angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen… Dabei soll der Stand der Technik eingehalten werden.“

Dieser Absatz wirft gleich mehrere Fragen auf, welche ich im Folgenden beantworten möchte.

Wer ist Betreiber einer kritischen Infrastruktur (KRITIS)?

Wie so oft werden Details zu einem Gesetz in branchenspezifischen Rechtsverordnungen geregelt. Dazu gehört auch die Festlegung, welche Unternehmen einer Branche von diesem Gesetz betroffen sind.

Für einige Branchen wurde diese Rechtsverordnung bereits verabschiedet. Dies sind die Sektoren:

  • Informationstechnik und Telekommunikation
  • Ernährung
  • Wasser
  • Energie

Für andere Sektoren wird die Rechtsverordnung aktuell (Juni 2016) für Ende 2016 /  Anfang 2017 erwartet:

  • Finanzen
  • Transport und Verkehr
  • Gesundheit

Die Rechtsverordnungen werden durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) gemeinsam mit Vertretern der Branchenverbände erarbeitet und hier veröffentlicht.

Sollte die Rechtsverordnung für Ihren Sektor bereits vorliegen, können Sie problemlos ermitteln, ob Sie nach dieser ein Betreiber einer kritischen Infrastruktur sind. Hierfür wurden Schwellenwerte definiert. Beispiele:

  • Sie sind ein Stadtwerk und für die Abwasserbeseitigung verantwortlich. Dafür sind mehr als 500.000 Einwohner an Ihrem Abwassernetz angeschlossen → KRITIS
  • Sie betreiben ein Lebensmittellager und der jährliche Umschlag beträgt 434.500t Speisen oder 350 Mio. l Getränke → KRITIS
  • Sie betreiben eine Anlage zur Stromerzeugung mit einer Nettoleistung von 420 MW → KRITIS

Alle relevanten Schwellenwerte finden sie hier.

Ihr Sektor ist noch nicht dabei?

Erste Entwürfe für die Rechtsverordnungen liegen vor. Dabei zeichnet sich analog zu den bereits verabschiedeten Sektoren ab: Die Schwellenwerte liegen in einem Bereich, der für ca. 500.000 Haushalte relevant ist. Das könnte bedeuten, dass beispielsweise im Sektor Gesundheit Krankenhäuser mit einem Einzugsgebiet von 500.000 Personen als KRITIS eingestuft werden. Ob das auch für spezialisierte Kliniken gilt, lässt sich Stand heute noch nicht beantworten.

Was bedeutet „angemessen“?

An dieser Stelle möchte ich ausdrücklich darauf hinweisen, dass ich kein Jurist bin. Gleichwohl sind Interpretationen dieses Begriffs möglich. Das BSI, als umsetzende Behörde, schreibt hier dazu:

„Organisatorische und technische Vorkehrungen gelten dann als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen steht, die ein Ausfall oder eine Beeinträchtigung der betroffenen Kritischen Infrastruktur hätte. Bei der Beurteilung der Angemessenheit von Maßnahmen müssen stets die Folgen eines potentiellen Ausfalls für das Gemeinwohl (Wirtschaft, Staat und Gesellschaft) betrachtet werden. Aufgrund der besonderen Bedeutung der Kritischen Infrastrukturen für das Gemeinwohl ist eine rein betriebswirtschaftliche Kosten-Nutzen-Betrachtung der Maßnahmen nicht angemessen.“

Dies ist natürlich auch keine befriedigende Antwort. Daher gibt es weitere Detaillierungen in den sogenannten branchenspezifischen Sicherheitsstandards (B3S). Hintergrund ist hier, dass einige Branchen mit vergleichsweise alter Technologie einen ausreichend hohen Schutz sicherstellen können (z.B. Pumpwerke zur Trinkwasserversorgung). Andere Branchen (z.B. Gesundheit) setzen aber sicher neuere Technologien ein (als potentieller Patient hoffe ich das zumindest…). Daher ist die Entwicklung branchenspezifischer Sicherheitsstandards auch eine adequate Lösung.

Gibt es Überschneidungen?

Ja. Das ist eine gute Nachricht für alle KRITIS-Betreiber, deren Rechtsverordnung noch nicht vorliegt. Denn alle bisher verabschiedeten Rechtsverordnungen haben eines gemeinsam – und das werden wohl auch die übrigen branchenspezifischen Rechtsverordnungen fordern:

Wer KRITIS ist, muss ein Informationssicherheitsmanagmentsystem (ISMS) einführen und zertifizieren (lassen).

Es gibt grundsätzlich mehrere zertifizierbare ISMS. Die beiden bekanntesten sind wohl die ISO 27001 und der IT-Grundschutz. Was ein ISMS ist habe ich hier kurz erklärt.

Und was bedeutet jetzt konkret „Stand der Technik“?

Das BSI schreibt hier dazu:

„„Stand der Technik“ ist ein gängiger juristischer Begriff, der nicht allgemeingültig und abschließend definiert ist. Da die technische Entwicklung schneller ist als die Gesetzgebung, hat es sich bewährt, in Gesetzen den Begriff „Stand der Technik“ zu verwenden, statt zu versuchen, konkrete technische Anforderungen festzulegen. Was zu einem bestimmten Zeitpunkt „Stand der Technik“ ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln.“

Also ist die Frage leider eher nicht konkret zu beantworten. Aber es gibt Handreichungen in Hülle und Fülle, die teilweise recht genau beschreiben, was zum aktuellen Zeitpunkt unter dem Begriff und je Branche zu verstehen ist. Erste Anlaufstelle ist daher natürlich der branchenspezifische Sicherheitsstandard. Hier finden sie diese branchenspezifischen Standards und teilweise auch namentlich genannte Ansprechpartner.

Für Vertreter der Sektoren, deren Rechtsverordnung noch nicht vorliegt gibt es eine „Orientierungshilfe“ des BSI. Auch in dieser Orientierungshilfe wird als Mindestanforderung das Regelwerk der ISO 27001 ff. genannt.

Bis wann müssen die Anforderungen umgesetzt sein?

Das BSI hat auch dazu einige Daten veröffentlicht.

  • 25. Juli 2015: Inkrafttreten des IT-Sicherheitsgesetzes
  • Mai 2016: Inkrafttreten der Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen für vier der sieben KRITIS-Sektoren (IKT, Energie, Wasser, Ernährung)
  • November 2016: betroffene Unternehmen aus den Sektoren IKT, Energie, Wasser und Ernährung haben eine Kontaktstelle für Vorfallsmeldungen zu benennen
  • Mai 2018: betroffene Unternehmen aus den Sektoren IKT, Energie, Wasser und Ernährung haben die Anforderung der Rechtsverordnung umgesetzt
  • Anfang 2017: Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen in den KRITIS-Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen.
  • Juli 2017: betroffene Unternehmen aus den Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen haben eine Kontaktstelle für Vorfallsmeldungen zu benennen
  • Anfang 2019: betroffene Unternehmen aus den Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen haben die Anforderung der Rechtsverordnung umgesetzt

Also müssen Betreiber kritischer Infrastrukturen spätestens Anfang 2019 alle Anforderungen umgesetzt haben.

3 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *