IT-Sicherheitsgesetz 2.0

12 Mai

  • in ISMS
  • von
  • 0

Was können wir aus dem IT-SiG 1.0 lernen?

Eine funktionierende Informations- und Kommunikationstechnik ist heute zur elementaren Voraussetzung der Funktionsweise unserer Gesellschaft, des Staates und vor allem der Wirtschaft geworden. Um diese Infrastruktur sicher zu betreiben, wurde das IT-Sicherheitsgesetz (IT-SiG) in Deutschland beschlossen. Nach rund 5 Jahren IT-Sicherheitsgesetz stellt sich die Frage, ob Unternehmen heute hinsichtlich der IT-Sicherheit besser aufgestellt sind und was die Unternehmen, die von dem neuen Gesetz betroffen sind, aus den bisherigen Erfahrungen lernen können.

Ein Blick zurück

Das IT-SiG 1.0 trat im Jahr 2015 in Kraft und änderte als Artikelgesetz eine Reihe anderer Gesetze, u.a. das BSI-Gesetz. Dies mündete 2016 mit der BSI Kritisverordnung (Kritis-VO) in eine erste Regelung, welche Unternehmen, die in kritischen Sektoren Services anbieten verpflichtete, „technische und organisatorische Maßnahmen“ zum Schutz ihrer informationstechnischen Systeme, Komponenten und Prozesse einzuführen, sofern sie bestimmte anlagenbezogene „Schwellenwerte“ überschritten. Konkret bedeutet das – betreibt man eine in der Kritis-VO definierte Anlage und erreichte oder überschritt diese einen dort definierten Wert, galt diese Anlage als kritische Infrastruktur i.S. des BSI-Gesetzes. In diesen ersten Korb fielen Unternehmen aus den Sektoren Energieversorgung, Informationstechnik und Telekommunikation, Wasser und Ernährung. Die Unternehmen hatten 2 Jahre Zeit und sollten dies bis zum 3. Mai 2018 durch eine Prüfung nachweisen. Der Kreis der Betroffenen vergrößerte sich ein Jahr später mit Korb 2 auf die Sektoren Finanz- und Versicherungswesen, Transport, Verkehr und Gesundheit. Diese Unternehmen hatten Zeit bis zum 30. Juni 2019 Nachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einzureichen. Einige Unternehmen in den kritischen Sektoren wurden über Sonderregelungen gesteuert, z.B. Verteilnetz- und Übertragungsnetzbetreiber, Energieanlagenbetreiber und Gasspeicher, die über das Energiewirtschaftsgesetz zur Einhaltung von Sicherheitskatalogen verpflichtet wurden. Das Gros der KRITIS Betreiber stand jedoch vor der Frage, was unter technischen und organisatorischen Maßnahmen, die das Gesetz forderte, zu verstehen wäre.

 

 Die Lösung des BSI: B3S – was ist das?

Unsere Mitarbeiter waren selbst seinerzeit auf den Schulungen, die das BSI anbot, um einem Kreis an Multiplikatoren die Erwartungen des BSI an die Implementierung und Auditierung von Informationssicherheit zu vermitteln, damit diese unter das Volk getragen werden können. Es gab zwei Fraktionen an Teilnehmern. Die Einen, die sofort verstanden, dass sie die weichen Anforderungen des BSI als Leitplanken mit Freiheiten zu verstehen hatten und die Anderen, die ohne klare Vorgaben sich in einer großen Unsicherheit wähnten

Ein Tipp vorweg, konsultieren sie die Webseite des BSI [1] zu allen Fragen rund um das IT-Sicherheitsgesetz und KRITIS. Die FAQs verändern sich fortwährend und bieten Antworten auf viele Detailfragen.

Das BSI Gesetz bot Branchenverbänden und Betreibern die Möglichkeit, sogenannte branchenspezifische Sicherheitsstandards einzureichen. Allein der Begriff war schon ein Statement und das dazugehörige Akronym B3S ein Mysterium. Aber Sie haben die relevanten 3 „S“ sicher schnell entdeckt. Kurz gesagt, ein B3S beschreibt ein branchenspezifisches Informationssicherheits-Managementsystem (ISMS).

Eine Übersicht über branchenspezifische Sicherheitsstandards (B3S), die öffentlich zugänglich sind, finden Sie unter [3]. Ja, sie haben richtig interpretiert, es gibt auch nicht öffentliche B3S. Hinter einem B3S steckt meist monatelange Arbeit und ggf. auch sicherheitskritisches, unternehmensbezogenes Wissen und so ist es zwar ärgerlich, aber durchaus verständlich, dass manche Betreiber ihre Schätze lieber für sich hüten. Allen gemein ist, sie müssen durch das BSI geprüft werden. War dies früher kostenlos, so werden inzwischen auf Grundlage der „Besondere Gebührenverordnung BMI – BGebV BMI“ dem Einreicher Stunden in Rechnung gestellt.

B3Se sollten KRITIS-Betreibern u.a. darin helfen, für welche IT-Einrichtungen und Prozesse technische und organisatorische Maßnahmen vorzunehmen sind und was darunter konkret zu verstehen ist, um einen sogenannten Stand der Technik zu erreichen, den § 8a BSI-Gesetz fordert.

Der Clou, weder das BSI, noch das Gesetz weiß, was unter Stand der Technik konkret zu verstehen ist. Es gehört zum salonfähigen juristischen Handwerk damit eine technische Messlatte anzusetzen, wenn es nicht möglich ist diese allgemeingültig und abschließend zu beschreiben. Das BSI hat auf seinen Webseiten [2] hierzu eine kurze Erläuterung, die besagt, dass der Stand der Technik-Aussagen sich stetig weiterentwickeln und dass nationale oder internationale Standards und Normen z.B. DIN, ISO, DKE oder ISO/IEC oder erfolgreich in der Praxis erprobte Vorbilder für den jeweiligen Bereich herangezogen werden können. Was heißt das jetzt für ein KRITIS Unternehmen? Nutzen Sie B3S, ISO-Normen, Branchenverbandsvorgaben und natürlich die ISO XMV – die Norm des gesunden (xsunden) Menschenverstands. Bauen sie ihren Maßnahmenmix unter Heranziehung von IT-Experten und achten Sie darauf, aktuelle Entwicklungen nicht zu verschlafen. Gerade im Bereich der Cloud-Security und SaaS-Bereich gilt es, Fachwissen aufzubauen.

 

Wie sollten Sie mit einem B3S umgehen?

Achtung, anders als bei den IT-Sicherheitskatalogen aus dem Energiewirtschaftsgesetz sind B3S nicht verpflichtend. Also, auch wenn ein B3S für die jeweilige Branche existiert, muss der KRITIS-Betreiber diesen nicht umsetzen. Die Anforderungen aus § 8a (1) BSIG können auch auf andere Weise erfüllt werden. Ein B3S hilft bei der Umsetzung, bei der Prüfung und gibt Rechtssicherheit, was das BSI im jeweiligen Bereich als „Stand der Technik“ ansieht.

Ein KRITIS-Betreiber kann den B3S entweder ganz, teilweise oder gar nicht nutzen. Die Entscheidung hierüber hängt von verschiedenen Faktoren ab. Haben Sie z.B. bereits eine ISO/IEC 27001-Zertifizierung im Haus, wäre es unangemessen aufwendig, ggf. inkompatible Vorgaben eines B3S parallel zu erfüllen, z.B. orientieren sich manche B3S stark am IT-Grundschutz und sind schwieriger zu integrieren. Zusätzlich gilt zu bedenken, dass wenn Sie einen B3S nativ erfüllen, Sie keinen Außeneffekt erzielen, da Sie kein Zertifikat in Ihr unternehmerisches Schaufenster hängen können.

Was heißt das konkret für den praktischen Einsatz? Das BSI erlaubt Ihnen, Ihren eigenen Mix aus technischen und organisatorischen Maßnahmen zu entwickeln. Sie müssen hierfür auch gar keinen B3S einreichen, sondern sie müssen nachweisen, dass sie den Vorgaben des BSI aus der sog. „Orientierungshilfe zu Inhalten und Anforderungen“ nachkommen.

Wir empfehlen Ihnen, würdigen Sie Ihren Branchen-B3S selektiv und bauen Sie Ihre eigene Prüfgrundlage auf Basis einer ISO/IEC 27001-Zeritifizierung. So finden Sie nicht nur Prüfer / Auditoren leichter, erzielen so auch eine Außenwirkung und finden leichter IT-Sicherheitspersonal, da ISO/IEC 27001 eine bekannte Norm ist. Nicht zuletzt deshalb setzen viele B3S ohnehin auf die 27k-Familie (meint die 27xxx Reihe).

Alle zuvor genannten Branchen- und Dienstleistungsbereiche sind genau die, über die jeden Tag berichtet. Es sind unsere systemrelevanten Unternehmen und Organisationen, die Deutschland gerade am Laufen halten. Umso wichtiger ist es, gerade oder besonders jetzt in der Krise die IT-Sicherheit in diesen kritischen Branchen aufrecht zu erhalten.

 

KRITIS mit Methode

 

Referentenentwurf IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0

 

Aktueller Nachtrag:

Dpa 09.05.2020: Das Bundesinnenministerium hat den Entwurf für das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ am Donnerstag zur Ressortabstimmung an die betroffenen Ministerien von Union und SPD verschickt. (https://www.abendblatt.de/politik/deutschland/article229081949/Debatte-ueber-Entwurf-von-IT-Sicherheitsgesetz.html)

 

 

 

[1] https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/it_sig_node.html

[2] siehe 1: FAQ zum IT-Sicherheitsgesetz

[3] Übersicht über alle öffentlichen Branchenspezifische Sicherheitsstandards (B3S): https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S/B3S_node.html#doc8140926bodyText7

 

Urheber: Martin Barraud von Photo Image auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.