Nun hat das deutsche IT-Sicherheitsgesetz seinen zweiten Geburtstag gefeiert (am 25.07.2017) und wir wollen das zum Anlass nehmen, seine Entwicklung und aktuelle Wirksamkeit kurz und kritisch zu beleuchten. Bereits seit Mitte der 2000er Jahre arbeiten Bundesregierung und Wirtschaft an einem Umsetzungsplan zum Schutz kritischer Infrastrukturen vor Cyber-Attacken (UP KRITIS), der in seiner rechtlichen Umsetzung dann

als das IT-Sicherheitsgesetz bekannt geworden ist.

Hintergrund zum IT-Sicherheitsgesetz

Bevor wir uns mit dem Inhalt auseinandersetzen, klären wir zunächst ein paar formale Aspekte: Das IT-Sicherheitsgesetz (IT-Sig) ist ein so genanntes Mantel- oder Artikelgesetz. Damit werden Gesetze bezeichnet, die gleichzeitig mehrere Fachgesetze ändern und bei denen jedes betroffene Gesetz einen Artikel bekommt (daher der Name), unter dem die jeweiligen Änderungen und Ergänzungen zu dem Fachgesetz zusammengefasst werden. Das IT-Sig hat insgesamt 11 Artikel und nimmt dabei Einfluss auf folgende bestehende Gesetzgebungen:

– Das BSI-Gesetz
– Das Atomgesetz
– Das Energiewirtschaftsgesetz
– Das Telemediengesetz
– Das Telekommunikationsgesetz
– Das Bundesbesoldungsgesetz
– Das Bundeskriminalgesetz
– Das Gesetz zur Strukturreform des Gebührenrechts des Bundes

Im Weiteren basiert das IT-Sig auf zwei Rechtsverordnungen, ohne deren Ausgestaltung die ganze Gesetzgebung ein Papiertiger bleibt. Denn erst in diesen Rechtsverordnungen wird festgelegt, was denn eine kritische Infrastruktur im Sinne des Gesetzes ist und welche Unternehmen/Organisationen damit unter diese Rechtsprechung fallen. Die erste dieser Verordnungen ist seit dem 03.05.2016 in Kraft und formuliert die Bedingungen für die Sektoren (das IT-Sig spricht von Sektoren im Sinne von Branchen) Energie, Wasser, Ernährung und IKT. Damit haben die Betroffenen aus diesen Sektoren nun bis zum 03.05.2018 Zeit, die sich daraus ergebenden Vorgaben zu erfüllen, bzw. nachzuweisen.

Die zweite Rechtsverordnung sollte bereits zu Beginn dieses Jahres verfügbar sein und die Sektoren Transport und Verkehr, Gesundheit und Finanz- und Versicherungswesen umfassen. Einer der hier wohl strittigen Punkte ist die Frage, ob auch Geldautomaten Teil einer kritischen Infrastruktur sind und somit z.B. jeder Phishing-Angriff auf diese zu einem Meldevorfall führt. Auch wenn die offizielle Sprachregelung noch den Frühling 2017 nennt, wird eine Veröffentlichung wohl noch etwas auf sich warten lassen. Auch hier haben die Betroffenen dann 2 Jahre Zeit, um eine erfolgreiche Umsetzung der damit verbundenen Maßnahmen nachzuweisen.

Zu guter Letzt sei bei den Formalien noch kurz auf die unterschiedlichen Zuständigkeiten als Melde- und Prüfungsstelle hingewiesen. Für die Sektoren Energie und öffentliche Telekommunikation ist die Bundesnetzagentur zuständig, für alle anderen Sektoren das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Zweiteilung ist nicht zuletzt dem Umstand geschuldet, dass sich die Bundesregierung gegenüber der Wirtschaft zu einer Entbürokratisierung verpflichtet hat, bzw. keine Ausweitung der bestehenden Bürokratie durch neue Verfahren zusichert (One-in, one-out Regelung). Und da die Bundesnetzagentur bereits mit der Regulierung und der Kontrolle zur Einhaltung der Gesetze und Zuständigkeiten in den genannten Sektoren beauftragt ist, erschien die Erweiterung um die durch IT-Sig hinzu gekommenen Prüf- und Meldefälle schlanker bei der Agentur aufgehangen …

Anforderungen an KRITIS-Betreiber


Was ist aber jetzt konkret zu tun für die betroffenen Betreiber kritischer Infrastrukturen? Letztlich sind zwei Bereiche zu adressieren:

 

  • eine Organisationsstruktur für die Meldung von Sicherheitsvorfällen im 24h-Betrieb aufbauen

    und
  • ein IT-Sicherheitskonzept nach „aktuellem Stand der Technik“ etablieren und betreiben.

Womit wir dann bei der nächsten Unsicherheit auf dem Weg zu einem wirksamen IT-Sig wären: wer oder was definiert den „aktuellen Stand der Technik“, dem ja nicht zuletzt durch die gewählte und im Übrigen rechtssichere Formulierung eine fortlaufende Veränderung unterstellt wird?

 

Hier trennen sich jetzt die Wege für die Betroffenen in den verschiedenen Sektoren. Für die dem BSI zugeordneten Sektoren gibt das Amt allgemeine Empfehlungen, sich an etablierten Standards und erprobten Verfahren zu orientieren. Daneben bietet das BSI an, so genannte Branchenspezifische Sicherheitsstandards (B3S) zu zertifizieren und liefert hierzu recht konkrete Vorgaben zur Ausgestaltung. Erarbeitet und verwaltet werden die B3S von Vertretern der jeweiligen Interessengemeinschaften aus den unterschiedlichen Branchen/Sektoren. In den B3S wird u.a. auch der jeweils „aktuelle Stand der Technik“ festgeschrieben und die betroffenen KRITIS-Betreiber können ihren Nachweis gegenüber dem BSI durch Erfüllung des für sie geltenden B3S erbringen.

 

Die der Bundesnetzagentur zugeordneten Unternehmen aus dem Energiesektor müssen die Vorgaben aus dem von der Agentur entwickelten Sicherheitskatalog für die Energiewirtschaft erfüllen, um den erfolgreichen Nachweis zur Einhaltung des IT-Sig zu liefern. Die Unternehmen der öffentlichen Telekommunikation dagegen werden auf Basis des §109 aus dem Telekommunikationsgesetz auf IT-Sig Konformität geprüft und auch hierzu hat die Bundesnetzagentur einen entsprechenden Sicherheitskatalog erstellt.

Die europäische NIS-Richtlinie


Somit wäre ja dann alles geregelt. Wenn es da nicht noch das europäische Pendant zum IT-Sig geben würde: die NIS-Richtlinie. Bereits im Entstehungsprozess weitgehend harmonisiert, ergeben sich aber jetzt doch noch Anpassungen insb. an das BSI-Gesetz, um den europäischen Vorgaben an eine IT-Sicherheitspolitik zu entsprechen. Verpflichtend für die Nationalstaaten wird das bis zum 09.05.2018.

 

Die Änderungen umfassen zum einen die Erweiterung der kritischen Infrastrukturen um Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Daneben werden die Befugnisse des BSI erneut und deutlich erweitert. Das Amt kann nun bei akuten Sicherheitsvorfällen Zugang und Zutritt zu den betroffenen kritischen Infrastrukturen verlangen und aktiv Schadensanalyse und Wiederherstellung betreiben. Die NIS-Richtlinie ist übrigens Ende April diesen Jahres vom Bundestag in Form des NIS-Richtlinien-Umsetzungsgesetz in nationales Recht überführt worden.

 

Hierbei interessant ist, dass die Befugnisse des BSI durch die NIS-Richtlinie nochmal deutlich erhöht werden. So hat die Behörde nun das Recht, die Audits der durch das IT-Sig betroffenen Unternehmen einzusehen und sie kann auch aktiv Prüfungen Vor-Ort durchführen.

 

Was die digitalen Dienste, die durch die neue NIS-Richtlinie nun ebenfalls als kritische Infrastrukturen eingeordnet werden, angeht: hier fehlen aktuell noch die Verordnungen, also u.a. die Antwort auf die zentrale Frage, welche Dienste und Anbieter überhaupt davon betroffen sind.

 

Fazit: Aller Anfang ist schwer und bis das IT-Sig volle Wirkung entfaltet, wird es noch bis mind. Mitte 2019 dauern. Daneben gibt es weiterhin viele Unsicherheiten bei der genauen Auslegung, insb. für die neu über die NIS-Richtlinie hinzu gekommenen Branchen. Viele Kritiker werfen dem Gesetz zudem vor, nur erkannte Sicherheitsvorfälle und keine erkannten Sicherheitslücken zu melden. Da kann man sich dann schon fragen, wer hier wem einen Gefallen tut. So oder so. Das 2. Quartal 2018 hat es sicherheitstechnisch auf jeden Fall in sich. Neben IT-Sig und NIS tritt dann auch die neue europäische Datenschutzverordnung in Kraft, die vielen Unternehmen aktuell noch etwas Kopfzerbrechen bereitet.

i-doit bedient im Übrigen alle geforderten Punkte aus diesen Vorgaben. Neben der überall geforderten Dokumentation der eingesetzten IT liefern Add-ons für IT-Grundschutz oder ISO27001 sowie die Methodik zur Abbildung des Datenschutzes ein vollständiges Funktionsset zur Handhabung eines rechtskonformen IT-Betriebs.

Mehr zum Thema IT-Sig und NIS


Wer mehr zum Thema erfahren will, für den haben wir noch ein paar interessante Links zusammengestellt, die einen umfassenden Eindruck von den einzelnen Gesetzen, Verordnungen und Interpretationen vermitteln.

 

FAQ vom BSI zum Inkrafttreten des IT-Sicherheitsgesetz

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html;jsessionid=D52724E9EEDAF7E203B098117EF95534.1_cid369

 

Das BSI zum Thema „Stand der Technik“ umsetzen.

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Stand_der_Technik/stand_der_technik_node.html/

 

Pressestimme zum IT-Sicherheitsgesetz

https://blog.wdr.de/digitalistan/it-sicherheit-gesetz-ohne-wirkung/

 

Unterschiede zwischen NIS und IT-Sig

https://www.recht-freundlich.de/nis-richtlinie/nis-richtlinie-und-it-sicherheitsgesetz-ein-vergleich

 

Beitrag zur NIS-Umsetzung im Rahmen IT-Sig

http://www.cr-online.de/blog/2017/01/31/2-korb-it-sicherheitsgesetz-bundesregierung-legt-nis-umsetzungsgesetz-vor/

 

BSI-Übersichtsseite zum IT-Sicherheitsgesetz

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/it_sig_node.html