Was ist das IT-Sicherheitsgesetz und wer ist betroffen? Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Darin wird unter anderem geregelt, dass die Betreiber kritischer Infrastrukturen, die sogenannten „KRITIS“, verpflichtet sind Mindeststandards umzusetzen. Auch eine Meldepflicht wird im IT-Sicherheitsgesetz festgelegt.

Einige Adressaten des IT- Sicherheitsgesetzes sind bereits seit dessen Inkrafttreten von den neuen Regelungen betroffen. Hierbei handelt es sich um die Betreiber von Kernkraftwerken, sowie öffentliche Telekommunikationsunternehmen. Letztere müssen nicht nur kritische Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sondern auch ihre Kunden vor Missbrauch eines Anschlusses warnen und über Wege der Störungsbeseitigung informieren.

Für Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gelten die neuen Regelungen erst dann, wenn diese in Form von Rechtsverordnungen in Kraft treten. Mittels nachvollziehbarer und messbarer Kriterien können die Betreiber kritischer Infrastrukturen anhand dieser Rechtsverordnungen prüfen, ob Sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Seit Februar 2016 gibt es bereits den ersten Entwurf der Rechtsverordnung zur Bestimmung von vier der sieben KRITIS-Sektoren. Es handelt sich um die Sektoren IKT, Energie, Wasser und Ernährung . Ende des Jahres 2016 wird dann die Rechtsverordnung der Sektoren Transport und Verkehr, Gesundheit, sowie Finanz- und Versicherungswesen folgen. Deutschlandweit sind voraussichtlich ca. 2000 Unternehmen von der BSI-Kritisverordnung betroffen. In dieser Zahl noch nicht berücksichtigt sind die Partner, Dienstleister sowie Lieferanten der betroffenen KRITIS-Unternehmen.

Was bedeutet das für Sie?

Nach Verabschiedung der BSI-Kritisverordnung sind die Betreiber kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes dazu verpflichtet eine Kontaktstelle zu benennen, IT-Sicherheitsvorfälle dem BSI zu melden (§ 8b Absatz 4 BSIG), sowie IT-Sicherheitsmaßnahmen nach dem Stand der Technik einzusetzen und zu erhalten (§ 8a Absatz 1 BSIG). Für die Umsetzung des Stands der Technik haben die Betreiber kritischer Infrastrukturen zwei Jahre nach Inkrafttreten der betreffenden Rechtsverordnung Zeit. Wird dieser Pflicht nicht nachgekommen drohen Bußgelder.

Der Begriff „Stand der Technik“ ist ein allgemeiner juristischer Begriff, der gesetzlich keine konkreten technischen Anforderungen festlegt. Da sich die notwendigen Maßnahmen in jedem Fall unterscheiden und regelmäßig ändern, lassen sich diese anhand nationaler bzw. internationaler Standards wie DIN oder ISO Normen zu jedem Zeitpunkt zuverlässig ermitteln.

Um den im IT-Sicherheitsgesetz geforderten Stand der Technik umzusetzen empfiehlt sich die Orientierung Ihres Informations-Sicherheits-Management-Systems (ISMS) an der international gültigen Norm ISO 27001.

Was ist ein ISMS und was hat die Norm ISO 27001 damit zu tun?

Ein Information Security Management System, kurz ISMS, beschreibt alle Prozesse und Regeln innerhalb Ihres Unternehmens, welche die Aufgabe zur dauerhaften

  • Definition
  • Steuerung
  • Kontrolle
  • Aufrechterhaltung und
  • Verbesserung

der Informationssicherheit haben. Dies umfasst nicht nur Online-, sondern auch Offline-Bereiche. Ein unaufgeräumter Schreibtisch beispielsweise kann ebenso zu Schwachstellen in Ihrer Informationssicherheit führen, wie Sicherheitslücken in Ihrer Firewall.
Die notwendigen Voraussetzungen zur Einführung und Betrieb eines solchen ISMS sind in der international gültigen ISO Norm 27001 beschrieben.
Die Norm baut dabei auf einer Risikobewertung Ihrer Kernprozesse zur Wertschöpfung auf. Denn nur wer die Informationssicherheitsrisiken und Gegenmaßnahmen für sein Unternehmen kennt, kann zielgerichtet reagieren.
Vor diesem Hintergrund definiert die ISO 27001 richtungsweisende Maßnahmenpakete, deren Umsetzung gemeinsam mit den Anforderungen an das ISMS im Rahmen eines Audits bewertet werden.

Inwiefern betrifft das Ihr Unternehmen?

Nehmen wir ein beispielhaftes Unternehmen. Dieses Unternehmen hat geordnete Strukturen und Abteilungen. Ganz ähnlich wird das natürlich für Ihre Organisation zutreffen. Auf die Kronjuwelen Ihres Unternehmens wirken die verschiedensten Gefährdungen. Diese umfassen beispielsweise:

  • Globalisierung, also auch Industriespionage
  • Einbruch oder Vandalismus
  • Umwelteinflüsse wie Erdbeben oder Überschwemmungen, aber auch Feuer – natürlich abhängig vom geografischen Standort
  • Malware oder andere Gefährdungen für Ihre IT Infrastruktur

Vor diesen und weiteren Gefährdungen wollen Sie Ihr Unternehmen schützen. Um dies zu realisieren gibt es eine Fülle von Maßnahmen, welche grob in vier Kategorien aufgeteilt werden können. Zum einen gibt es Hardware wie beispielsweise Firewalls oder Router. Diese werden in der Regel ergänzt um Software wie zum Beispiel einem Anti-Virus Programm. Natürlich spielen auch Ihre Mitarbeiter und Kunden eine wichtige Rolle bei der vertraulichen Behandlung sensibler Daten und Informationen und leisten so ihren Beitrag zur Informationssicherheit. Damit diese Komponenten ideal zusammenspielen können, braucht es definierte Prozesse. Genau an diesem Punkt bietet ein Informations-Sicherheits-Management-System nach ISO 27001 die Möglichkeit und nach Best Practice vorzugehen.

Wie läuft die Umsetzung in Ihrem Unternehmen ab?

Um ein ISMS nach ISO 27001 einzuführen sollten Sie zunächst eine GAP-Analyse durchführen. So können Sie abschätzen welche Schritte notwendig sind, um die Anforderungen der ISO Norm zu erfüllen. Im Anschluss daran können Sie durch eine Risikoanalyse einen priorisierten Maßnahmenplan entwickeln. Dieser zentrale Bestandteil der Norm kann Ihnen helfen, Investitionen in die Sicherheit überlegt und zielgerichtet zu tätigen. Mit einer anschließenden Selbstüberprüfung – einem internen Audit – können Sie ermitteln, ob die umgesetzten Maßnahmen zum gewünschten Erfolg geführt haben. Gegebenenfalls können Sie hier Korrekturmaßnahmen definieren. Durch die Auswertung von Kennzahlen und Berichten kann das Management nun über den Fortschritt und die Funktion des ISMS unterrichtet werden. Diese Prozess-Schritte werden dann im Rahmen eines kontinuierlichen Verbesserungsprozesses wiederholt. So stellen Sie sicher, dass Ihre Maßnahmen funktionieren und die Unternehmenssicherheit stetig verbessert wird. Sobald Sie diese Prozesse zum zweiten Mal durchlaufen haben, hat Ihr ISMS die Zertifizierungsreife erlangt.

Welche Vorteile haben Sie davon?

Mit der Einführung oder Anpassung Ihres Informations-Sicherheits-Management-Systems an die Anforderungen der ISO 27001 schlagen Sie mehrere Fliegen mit einer Klappe.

Als Betreiber kritischer Infrastrukturen stellen Sie zu sicher, dass Ihre Sicherheitsmaßnahmen dem Stand der Technik entsprechen und entgehen so dem bei Nicht-Umsetzung drohenden Bußgeld.

Doch auch als Nicht-Betroffener des neuen IT-Sicherheitsgesetzes hat ein ISMS nach ISO 27001 Vorteile für Sie. Durch die genaue Definition Ihres Risikos und die Anpassung der Sicherheitsmaßnahmen an diese Risikodefinition investieren Sie an der richtigen Stelle. Sie erhöhen also die Qualität Ihrer Informationssicherheit und sparen gleichzeitig Kosten und Zeit ein.

Wie gehen Sie jetzt weiter vor?

Zur Umsetzung der genannten Maßnahmen haben Sie zwei Möglichkeiten. Für die Durchführung interner Audits können Sie einerseits in Ihrem Unternehmen einen IT-Sicherheitsbeauftragten benennen. Da dafür jedoch häufig die Ressourcen fehlen gibt es andererseits auch die Möglichkeit einen externen auf ISO 27001 – Audits spezialisierten Berater hinzuzuziehen. Die endgültige Zertifizierung ist ausschließlich durch eine akkreditierte Zertifizierungsstelle, wie beispielsweise die DQS , möglich.

Wenn Sie mehr über die konkreten Inhalte der Norm erfahren wollen, schauen Sie sich doch unseren Screencast dazu an.

Quellen:

BSI, „IT-Sicherheitsgesetz tritt am 25. Juli 2015 in Kraft“ : https://www.bsi.bund.de/DE/DasBSI/Gesetz/IT-Sicherheitsgesetz.html

BSI, „Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes“: https://www.bsi.bund.de/DE/Service/FAQ/IT-Sicherheitsgesetz/faq_node.html;jsessionid=0ACA22133BECEA7004D91658C32F67D1.2_cid368

4 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *