Schwerpunkte

Kritische Infrastrukturen

Leitfaden für das IT-Sicherheitsgesetz

30. Mai 2016, 10:38 Uhr   |  Autoren: Jennifer Lüken und Stephan Berentzen / Redaktion: Axel Pomper | Kommentar(e)

Leitfaden für das IT-Sicherheitsgesetz
© fs - 123RF

Mit dem im Sommer 2015 verabschiedeten IT-Sicherheitsgesetz setzt die Bundesregierung neue Maßstäbe in Richtung Informationssicherheit. Das Gesetz richtet sich im Wesentlichen an die Betreiber kritischer Infrastrukturen. Doch wer gehört dazu und wie lässt sich das Mindestniveau umsetzen?

Betreiber kritischer Infrastrukturen werden nach dem IT-Sicherheitsgesetz nach §1 Abs. 2 wie folgt definiert: „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“ Eine genaue Bestimmung der kritischen Infrastrukturen und ihre Betreiber erfolgt mittels einer Verordnung zum IT-Sicherheitsgesetz.

Was fordert das IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz beinhaltet zwei wesentliche Pflichten für die Betreiber kritischer Infrastrukturen. Die erste Pflicht ist es, ein bestimmtes Mindestniveau an IT-Sicherheit einzuhalten. Innerhalb von zwei Jahren nach Inkrafttreten der Verordnung sollen die Betreiber nach § 8a Abs. 1 Satz 1 des IT-Sicherheitsgesetzes „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse […] treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastruktur maßgeblich sind“.

Die zweite Pflicht, die sich für die Betreiber kritischer Infrastrukturen aus dem IT-Sicherheitsgesetz ergibt, ist die Meldepflicht. Betreiber kritischer Infrastrukturen haben nach § 8b Abs. 4 Satz 1 des IT-Sicherheitsgesetzes „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen führen können oder geführt haben […] unverzüglich an das Bundesamt [für Sicherheit in der Informationstechnik] zu melden“.

Was ist zu tun, um das Mindestniveau umzusetzen?

Die Anforderung, ein Mindestniveau an Informationssicherheit umzusetzen und aufrecht zu erhalten, bedeutet nichts anderes als ein Information Security Management Systems (ISMS) einzuführen und zu betreiben.

Es gibt diverse IT-Sicherheits-Standards, die Unternehmen dabei unterstützen können diese Anforderung des IT-Sicherheitsgesetzes umzusetzen. Die bekanntesten und am weitesten verbreiteten Standards sind zum einen der „IT-Grundschutz“ des BSI und zum anderen die „ISO/IEC 27001“. Ferner lässt das IT-Sicherheitsgesetz den Betreibern die Freiheit, über ihre Branchenverbände eigene, sektorspezifische Standards auszuarbeiten und dem BSI zur Genehmigung vorzulegen. Die Entscheidung welcher Standard letztendlich zum Einsatz kommt, liegt bei den Betreibern der kritischen Infrastrukturen.

Die Empfehlung zur Umsetzung eines ISMS, lässt sich aus den Vorgaben des IT-Sicherheitsgesetzes ablesen. So ist beispielweise in § 8a Abs. 1 Satz 2 gefordert, dass für die Sicherheit der kritischen Infrastruktur der „Stand der Technik“ eingehalten werden muss. Dies bedarf einer ständigen Überarbeitung, Überwachung und Verbesserung der IT-Sicherheitstechnik. Des Weiteren schreibt das IT-Sicherheitsgesetz in § 8a Absatz 3 vor, dass die Einhaltung der Anforderungen mindestens alle zwei Jahre durch Prüfung, Sicherheitsaudits oder Zertifizierungen nachgewiesen werden muss. Genau auf diese Dinge zielt auch ein ISMS ab. Darüber hinaus basiert es auf einem Risikomanagement. Das Betreiben eines Risikomanagements wird im IT-Sicherheitsgesetz durch das Wort „angemessen“ in § 8a Abs. 1 Satz 1 gefordert. „Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht“ (§8a Abs. 1 Satz 3).

Genau diese Verhältnismäßigkeit der Angemessenheit wird innerhalb eines Risikomanagements herausgefunden.

Ergebnisse des Risikomanagements können beispielsweise das Umsetzen von Netzwork Access Control (NAC)-Lösungen sein. NAC-Lösungen schützen das Netzwerk vor Eindringlingen und können somit zur Bewahrung der Verfügbarkeit, Integrität und Vertraulichkeit der kritischen Infrastrukturen beitragen. Es gibt bereits Softwarebasierte NAC-Lösungen, die keinen Austausch von Hardware wie etwa Switches erforderlich machen.

Aus dem § 8a Abs. 1 Satz 1 geforderte „Vermeidung von Störungen der Verfügbarkeit“ ergibt sich eine weitere Anforderung an die Betreiber kritischer Infrastrukturen, das Betreiben eines Business Continuity Managements. So können beispielsweise Notfallpläne helfen, während eines Krisenfalls die kritischen Infrastrukturen schnellstmöglich wieder aufzubauen.

Eine weitere Forderung innerhalb des IT-Sicherheitsgesetzes ist das Betreiben eines Incident Managements. Diese Forderung ergibt sich aus der oben genannten Meldepflicht.

Seite 1 von 2

1. Leitfaden für das IT-Sicherheitsgesetz
2. Sicherheitsstörfälle zuverlässig erkennen

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Zuverlässiger Schutz und weniger Arbeit
Fünf Tipps zur Zwei-Faktor-Authentifizierung
Leitfaden zum Schutz vor Ransomware
Acht goldene Regeln für sichere Passwörter

Verwandte Artikel

funkschau