Mit dieser Frage m\u00fcssen sich aktuell eine ganze Reihe von Gesch\u00e4ftsf\u00fchrern und Sicherheitsbeauftragten in unterschiedlichsten Unternehmen und \u00f6ffentlichen Verwaltungen besch\u00e4ftigen. Ziel des Gesetzes ist, die IT-Sicherheit von Unternehmen – insbesondere von denen, die den Kritischen Infrastrukturen zugeordnet werden – zu erh\u00f6hen.\u00a0Daf\u00fcr wird den Betreibern der Kritischen Infrastrukturen vorgeschrieben, ein Mindestma\u00df an IT-Sicherheit nachzuweisen und IT-Sicherheitsvorf\u00e4lle dem BSI zu melden. Daraus ergeben sich im Wesentlichen die folgenden drei Fragen:<\/p>\n
1. Wer geh\u00f6rt zu den Kritischen Infrastrukturen?<\/strong><\/p>\n Im aktuell vorliegenden Entwurf sch\u00e4tzt\u00a0man\u00a02000 meldepflichtige Betreiber Kritischer Infrastrukturen. Konkret hei\u00dft es dazu:<\/p>\n (10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die<\/em><\/p>\n<\/blockquote>\n den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ern\u00e4hrung sowie Finanz- und Versicherungswesen angeh\u00f6ren und<\/em><\/p>\n<\/blockquote>\n<\/li>\n von hoher Bedeutung f\u00fcr das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeintr\u00e4chtigung erhebliche Versorgungsengp\u00e4sse oder Gef\u00e4hrdungen f\u00fcr die \u00f6ffentliche Sicherheit eintreten w\u00fcrden<\/em><\/p>\n<\/blockquote>\n<\/li>\n<\/ol>\n Und erg\u00e4nzend dazu:<\/p>\n „Die weitere Konkretisierung bedarf der sektor- und branchenspezifischen Einbeziehung aller betroffenen Kreise (Verwaltung, Wirtschaft und Wissenschaft). Die jeweils anzulegenden Ma\u00dfst\u00e4be k\u00f6nnen nur in einem gemeinsamen Arbeitsprozess mit Vertretern der m\u00f6glicherweise betroffenen Betreiber Kritischer Infrastrukturen und unter Einbeziehung der Expertise von externen Fachleuten in sachgerechter Weise erarbeitet werden. Hinzu kommt, dass der technische und gesellschaftliche Wandel sowie die im Rahmen der Umsetzung der neuen gesetzlichen Vorgaben gemachten Erfahrungen in den Folgejahren gegebenenfalls Anpassungen erforderlich machen. Die n\u00e4here Bestimmung der Kritischen Infrastrukturen ist daher gem\u00e4\u00df Satz 2 einer Rechtsverordnung vorbehalten. Diese ist auf der Grundlage von \u00a7 10 Absatz 1 des BSI-Gesetzes zu erlassen. Hierbei ist vorgesehen, die Einteilung der Kritischen Infrastrukturen nach den Kriterien Qualit\u00e4t und Quantit\u00e4t vorzunehmen.“\u00a0<\/em><\/p>\n<\/blockquote>\n F\u00fcr „klassische“ KRITIS-Unternehmen ist die Zuordnung damit klar. F\u00fcr alle anderen Unternehmen in diesen Sektoren ist eine Konkretisierung innerhalb einer Rechtsverordnung noch zu erwarten, vorher l\u00e4sst sich die Zielgruppe des Gesetzes nicht in vollem Umfang definieren. Aufgrund der fehlenden Gesetzgebungskompetenz der Bundesregierung ergeben sich Auswirkungen des Gesetzes zwar f\u00fcr Bundesbeh\u00f6rden, aber\u00a0im Bereich der Kommunalverwaltungen sind die Auswirkungen nur eingeschr\u00e4nkt auf klassische Wirtschafts- bzw. Eigenbetriebe (z. Bsp. Wasserversorgung) zu erwarten.<\/p>\n 2. Wie definiert sich das Mindestma\u00df an IT-Sicherheit?<\/strong><\/p>\n Die KRITIS-Unternehmen m\u00fcssen zwei Jahre nach Inkrafttreten angemessene technische und organisatorische Ma\u00dfnahmen ergreifen. Dabei muss der Aufwand im Verh\u00e4ltnis zu den Folgen eines m\u00f6glichen Sicherheitsvorfalls stehen, hier wird auf „den Stand der Technik“<\/em> verwiesen. Als Mindestma\u00df an Informationssicherheit k\u00f6nnen die\u00a0Standards ISO 27001, ISO 27002 und die BSI Grundschutzstandards bzw. -kataloge als Grundlage gesehen werden, dabei\u00a0auch mit den branchenspezifischen Konkretisierungen (z. Bsp. Energieversorgungsunternehmen ISO 27019 bzw. der von der Bundesnetzagentur vorgestellte Sicherheitskatalog). Entsprechende Sicherheits- und Notfallkonzepte sollen daf\u00fcr vorliegen.<\/p>\n Ein Nachweis ist mindestens alle zwei Jahre durch „Sicherheitsaudits, Pr\u00fcfungen\u00a0oder\u00a0Zertifizierungen“<\/em> zu erbringen, auch hier fehlt eine konkrete Vorgabe zur Art. Gepr\u00fcft werden soll, ob<\/p>\n Es liegt im Ermessen des\u00a0Pr\u00fcfers, die Nachweise zu bewerten, wobei die Qualifikation des Pr\u00fcfers dem BSI glaubhaft gemacht werden soll. Hierbei soll durchaus auf\u00a0die bereits bestehenden (inter-)nationalen Pr\u00fcf- und Zertifizierungsstandards zur\u00fcckgegriffen werden (z. Bsp. ISO27001, BSI).\u00a0Wer sich bei dieser Frage\u00a0an allgemeine Standards h\u00e4lt, kann dabei sicher nichts falsch machen.<\/p>\n 3. Was sind meldepflichtige Vorf\u00e4lle?<\/strong><\/p>\n Erhebliche St\u00f6rungen liegen dann vor, wenn dadurch die Funktionsf\u00e4higkeit der kritischen Dienstleistung bedroht ist. Nicht erhebliche St\u00f6rungen sind dabei tagt\u00e4glich vorkommende Ereignisse (\u00fcbliche Hardwareausf\u00e4lle, Spam, Viren etc).\u00a0Hier geht man im Gesetzentwurf von einer Anzahl von 7 meldepflichtigen („erheblichen“<\/em>) \u00a0Vorf\u00e4llen pro Betreiber und pro Jahr aus, die anonym gemeldet werden sollen (in Ausnahmef\u00e4llen unter Nennung des Unternehmensnamens). Eine konkrete Definition eines Sicherheitsvorfalls bleibt der Text allerdings schuldig, das BSI schreibt dazu im entsprechenden Baustein der Grundschutzkataloge:<\/p>\n „Als Sicherheitsvorfall wird dabei ein unerw\u00fcnschtes Ereignis bezeichnet, das Auswirkungen auf die Informationssicherheit hat und in der Folge gro\u00dfe Sch\u00e4den nach sich ziehen kann.“<\/em><\/p>\n<\/blockquote>\n Und weiter in der zugeh\u00f6rigen Ma\u00dfnahme „M6.122 Definition eines Sicherheitsvorfalls“:<\/p>\n „Eine weitestgehend formale Definition ohne zu breite Interpretationsspielr\u00e4ume kann den Start dieses Prozesses zus\u00e4tzlich erleichtern.“<\/em><\/p>\n<\/blockquote>\n Zuk\u00fcnftig wird das BSI konkrete Kriterien f\u00fcr meldungsrelevante Sicherheitsvorf\u00e4lle entwickeln. In diesem Zusammenhang m\u00fcssen die Betreiber Kritischer Infrastrukturen innerhalb der n\u00e4chsten sechs Monate eine Kontaktstelle einrichten, \u00fcber die sie jederzeit erreichbar sind..<\/p>\n Abschlie\u00dfend l\u00e4sst sich die Frage „Was bedeutet es konkret?“ wohl derzeit noch nicht abschlie\u00dfend beantworten, hier sind sicher noch einige (juristische) Bewertungen und Diskussionen erforderlich. Sicher kann man aber schon sagen, dass das Thema Informationssicherheit mit einer Zertifizierung immer st\u00e4rker in den Fokus r\u00fccken wird – bei den direkt betroffenen Unternehmen unmittelbar und sofort. Die\u00a0indirekt Betroffenen k\u00f6nnen die aktuellen Entwicklungen noch verfolgen, sollten sich aber ebenfalls mit der Einf\u00fchrung eines ISMS\u00a0besch\u00e4ftigen. Darunter fallen auch die Dienstleister, die Betreiber Kritischer Infrastrukturen in ihrem Kundenkreis haben.<\/p>\n Nach der Zustimmung im Bundestag und der Verabschiedung im Bundesrat steht jetzt noch die Unterschrift des Bundespr\u00e4sidenten aus, das scheint aber nur noch eine Formsache zu sein. Unmittelbar danach soll das Gesetz in Kraft treten.<\/p>\n","protected":false},"excerpt":{"rendered":" Mit dieser Frage müssen sich aktuell eine ganze Reihe von Geschäftsführern und Sicherheitsbeauftragten in unterschiedlichsten Unternehmen und öffentlichen Verwaltungen beschäftigen. Ziel des Gesetzes ist, die IT-Sicherheit von Unternehmen zu erhöhen. Dafür wird den Betreibern der Kritischen Infrastrukturen vorgeschrieben, ein Mindestmaß an IT-Sicherheit nachzuweisen und IT-Sicherheitsvorfälle dem BSI zu melden. Daraus ergeben sich im Wesentlichen die folgenden drei Fragen:<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,6,3,7,4,17,8],"tags":[],"class_list":["post-32","post","type-post","status-publish","format-standard","hentry","category-bsi","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-notfallmanagement","category-penetrationstests","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/32","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=32"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/32\/revisions"}],"predecessor-version":[{"id":33,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/32\/revisions\/33"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=32"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=32"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=32"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n
\n
\n
\n