Aktueller Stand an der IT-Sicherheitsfront
Die letzte Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hat einen hohen Standard wichtige Infrastrukturen eingeführt. Dieser soll durch das in Planung befindliche IT-Sicherheitsgesetz 2.0 noch weiter erhöht werden.
1. Umsetzung in den Unternehmen
Betreiber kritischer Infrastrukturen („KRITIS“) sind gem. § 8a Abs. 1 BSIG verpflichtet „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von Ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Ob ein Unternehmen als KRITIS einzustufen ist, bestimmt sich durch die BSI KritisV. Maßgebend hierfür ist die Überschreitung eines festgelegten Schwellenwertes.
KRITIS-Betreiber hatten ab Inkrafttreten der BSI‑KritisV zwei Jahre Zeit die Vorkehrungen nach dem Stand der Technik zu treffen. Die dafür maßgeblichen Fristen sind inzwischen abgelaufen. Aus dem Lagebericht des BSI über die IT-Sicherheit in Deutschland 2019 ergibt sich, dass die betroffenen Unternehmen sich intensiv mit dem Thema auseinandergesetzt haben. Insbesondere organisatorische Verbesserungen führten zu einer Verbesserung der IT-Sicherheit im Allgemeinen. Zu diesen Maßnahmen zählen v.a. die Einführung eines Informationssicherheitsmanagementssystems („ISMS“) und die Personalaufstockung der IT-Sicherheitsteams. Gerade die Implementierung eines ISMS wurde häufig durch externe Berater begleitet. Aber auch in technischer Hinsicht fand eine Verbesserung statt, z.B. wurde in vielen KRITIS-Anlagen alte Technik durch neue ersetzt. Insgesamt bescheinigt das BSI den KRITIS-Betreibern eine IT-Sicherheit auf hohem Niveau.
2. Nachweis der KRITIS-Anforderungen
Mit Ablauf der Umsetzungsfrist sowie alle folgenden zwei Jahre haben die KRITIS-Betreiber dem BSI die Erfüllung der Anforderungen nachzuweisen. Für die Folgenachweise bestimmt sich die 2-Jahresfrist taggenau anhand des Einreichungsdatums des vorigen Nachweises. Betreiber, die nunmehr erstmalig den KRITIS-Regelungen unterfallen, müssen die KRITIS-Verpflichtungen der §§ 8a, 8b BSIG zwar unverzüglich umsetzen, haben für den Nachweis der Umsetzung aber zwei Jahre Zeit.
Der Nachweis kann gem. § 8a Abs. 3 Satz 2 BSIG „durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen“. Beim BSI sind grundsätzlich aber nur die Ergebnisse der Prüfung einzureichen. Hierfür stellt das BSI auf ihrer Webseite entsprechende Nachweisformulare bereit. Der vollständige Prüfbericht ist nur auf Nachfrage des BSI vorzulegen. Ausschlaggebend für die Vorlage scheint u.a. auch die Qualifikation der Prüfer zu sein. Die Auswahl derselben liegt in der Verantwortung der KRITIS-Betreiber. Das BSI hat zum Erwerb der Prüfungskompetenz ein Schulungskonzept erarbeitet und empfiehlt den Prüfern den Besuch einer solchen Schulung. Auf seiner Webseite stellt das BSI eine Übersicht über qualifizierte Schulungsanbieter zur Verfügung. Die Ausgestaltung der Prüfung selbst obliegt dem Prüfer selbst. Besteht für das zu prüfende Unternehmen ein branchenspezifischer Sicherheitsstandard („B3S“) mit Eignungsfeststellung des BSI, so empfiehlt es sich, diesen als Prüfungsgrundlage heranzuziehen.
3. Stand der Technik und branchenspezifische Sicherheitsstandards
Was genau unter dem Stand der Technik zu verstehen ist, führen weder Gesetz noch die BSI KritisV oder die Gesetzesbegründung hinreichend aus.
Die vom Gesetzgeber gewünschte Erstellung von B3S dient dazu, dass einzelne Branchen ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik formulieren. Auch wenn ein vorhandener B3S nicht zwingend einzuhalten ist, so gibt dieser dennoch gute Ansatzpunkte für betroffene Unternehmen und sorgt nicht zuletzt aufgrund der Tatsache, dass das BSI einen B3S auf seine Eignung prüft, für hinreichende Rechtssicherheit. Folgende B3S wurden vom BSI bisher als geeignet anerkannt:
Sektor Energie
Sektor Wasser
Sektor Ernährung
Sektor Informationstechnik und Telekommunikation
Sektor Finanz- und Versicherungswesen
Sektor Gesundheit
Sektor Transport und Verkehr
Im Verfahren der Eignungsprüfung befinden sich im Sektor Transport und Verkehr die B3S „B3S im Luftverkehr“; eingereicht vom Bundesverband der Deutschen Luftverkehrswirtschaft e.V. (BDL) und „B3S für Betreiber des ÖPNV und des Schienenverkehrs der Eisenbahn“; eingereicht vom Verband Deutscher Verkehrsunternehmen e.V. (VDV). In den anderen Sektoren liegen derzeit keine B3S zur Eignungsprüfung vor. Eine aktuelle Übersicht des in Arbeit befindlichen bzw. veröffentlichten B3S findet sich auf der Webseite des BSI.
4. Überarbeitung des IT-Sicherheitsgesetzes
Bereits im Koalitionsvertrag 2018 haben CDU, CSU und SPD beschlossen das IT-Sicherheitsgesetz weiterzuentwickeln. Der am 27.3.2019 vom BMI vorgelegte Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 liegt allerdings noch zur Abstimmung bei den anderen Ministerien und wurde bisher noch nicht in den Bundestag eingebracht.
Der Entwurf hat für viel Furore gesorgt; allein die Schaffung von mehr als 850 Planstellen beim BSI verdeutlicht die Dimension der geplanten Anpassung. Zu den wichtigsten Neuerungen zählen: