Neues IT-Sicherheitsgesetz: Zeit zu handeln

IT-Sicherheitsgesetz: Was auf Ihr Unternehmen zukommt

Unwissenheit schützt vor Strafe nicht!

Seit 1. August ist das IT-Sicherheitsgesetz in Kraft. Das Ziel: IT-Systeme und kritische Infrastrukturen in Deutschland sollen zu den sichersten weltweit zählen. Die Bundesregierung möchte damit Bürger und Unternehmen stärker und effizienter als jemals zuvor vor Cyberangriffen, Cyberspionage und Bedrohungen aus dem Netz schützen. Für Unternehmen gehen mit dem Gesetz einige – teilweise auch bußgeldbelegte – Pflichten einher. Aber werfen wir einen genaueren Blick in das Gesetz und die konkreten Auswirkungen für Unternehmen.

Die Betroffenen: Betreiber kritischer Infrastrukturen

Vom IT-Sicherheitsgesetz hauptsächlich betroffen sind Betreiber kritischer Infrastrukturen: Institutionen, Organisationen, Behörden und Unternehmen, die für das Gemeinwesen eine wichtige Rolle spielen. Dazu gehören beispielsweise Energie- und Wasserversorger, IT- und Telekommunikationsunternehmen, Finanzdienstleister, Krankenhäuser und Labore sowie Verkehrs- und Transportunternehmen. Allesamt also Einrichtungen, bei denen Ausfälle nicht nur eine erhebliche Anzahl an Personen treffen würde, sondern auch zu Versorgungsengpässen oder zu Störungen der allgemeinen Sicherheit führen können.

Die neuen Pflichten

Noch 20 Monate Zeit zur Umsetzung Per Gesetz sind Betreiber kritischer Infrastrukturen nun verpflichtet, organisatorische und technische Vorkehrungen und Maßnahmen zu treffen, die der Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse nach dem Stand der Technik dienen. Als Frist nennt der Gesetzgeber hierfür übrigens zwei Jahre nach Inkrafttreten der Rechtsverordnung. Zudem müssen Störungen der IT-Systeme, die zu Beeinträchtigung oder Ausfällen der kritischen Infrastruktur führen können oder bereits geführt haben, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Andernfalls wird ein Bußgeld von bis zu 100.000 Euro fällig.

Auch betroffen: Betreiber kommerzieller Webseiten

Vom IT-Sicherheitsgesetz betroffen sind auch Online-Shops. Dazu gehören Blogs oder Webseiten, die Bannerwerbung einblenden: Jeder dieser kommerziellen Webseitenbetreiber ist nunmehr per Gesetz verpflichtet, technische und organisatorische Maßnahmen nach dem Stand der Technik zu ergreifen, die dem Schutz von Kundendaten und dem der verwendeten IT-Systeme zugutekommen – allerdings nur, soweit auch wirtschaftlich zumutbar.

Verschlüsselung und Viren-Hacker-Schutz werden zur Pflicht

Bei Verstößen drohen Geldbußen bis 50.000 Euro Das bedeutet, Betreiber von kommerziellen Webseiten müssen nunmehr sicherstellen, dass weder unerlaubter Zugriff auf die genutzten technischen Einrichtungen, noch Verletzungen des Datenschutzes möglich sind. Sowohl Technik als auch Daten müssen obendrein gegen Störungen, also auch Angriffe, geschützt sein. Konkret werden damit der Einsatz von Verschlüsselungstechnologien sowie ein Viren- und Hacker-Schutz per Gesetz zur Pflicht. Damit soll verhindert werden, dass (Kunden-) Daten gestohlen oder Webseiten manipuliert werden, und dass Computerviren oder Trojaner ein Computersystem infizieren. Bei Verstößen wird mit Geldbußen von bis zu 50.000 Euro geahndet.

Ausnahmen

Eine Ausnahme bilden Kleinstunternehmen: Unternehmen mit einem Jahresumsatz unter 2 Millionen Euro und weniger als 10 Mitarbeitern sind nicht von den Regelungen des IT-Sicherheitsgesetzes betroffen.

Meldepflicht

Mindeststandards sind nachzuweisen Mit der neuen Meldepflicht müssen sämtliche IT-Sicherheitsvorfälle an das BSI oder an die Bundesnetzagentur gemeldet werden. Damit einher geht auch die Pflicht, Ereignisse zu detektieren, zu ermitteln und die Vorfälle zu bewerten. Daraus folgend müssen interne (Produktion, IT, Betrieb) sowie externe (CERT) Meldewege verfügbar sein. Sofern es sich nicht um Betreiber kritischer Infrastrukturen handelt, können Sicherheitsvorfälle anonym, sprich ohne Nennung des betroffenen Unternehmens, gemeldet werden. Damit sind auch versuchte Angriffe sowie Sicherheitslücken meldepflichtig. Sobald jedoch die kritische Infrastruktur beeinträchtigt ist, ist eine Meldung unter Nennung des Betreibernamens Pflicht. Hier drohen betroffenen Unternehmen schwer kalkulierbare Image-Schäden. Vorbeugen sollte daher im eigenen Interesse sein.

Mindeststandards der IT-Sicherheit

Neben der Meldepflicht von IT-Sicherheitsvorfällen werden zudem Mindeststandards für die IT-Sicherheit bei den Betreibern kritischer IT-Infrastrukturen branchenweit festgelegt. Die Branchen bzw. deren Branchenverbände selbst sollen dazu Standards entwickeln, die anschließend vom BSI genehmigt werden. Alle zwei Jahre müssen dann Nachweise der Umsetzung dieser Mindeststandards, beispielsweise in Sicherheitsaudits, an das BSI erbracht werden. Die Umsetzung von Mindeststandards hat im Übrigen zur Folge, dass in Unternehmen ein Information Security Management System (ISMS) eingeführt wird. Dies geschieht auf Basis des BSI IT-Grundschutzes oder einer ISO 27001-Zertifizierung. Unternehmen, die bereits ein ISMS umgesetzt haben, werden dies darauf überprüfen lassen müssen, ob es den Anforderungen des Gesetzgebers genügt oder eine Zertifizierung fällig wird.

Diese Maßnahmen entsprechen dem Stand der Technik

    • Einführung eines Informationsmanagementsystems (ISMS)
    • Möglichkeiten zur Identifizierung und zum weiteren Umgang mit kritischen Cyber-Assets
    • Treffen von Maßnahmen zur Angriffsprävention und -erkennung
    • Implementierung eines Business Continuity Managements (BCM)
    • Umsetzung branchenspezifischer Sicherheitsstandards

Um diese Punkte umzusetzen, empfiehlt sich eine geeignete Zertifizierung: Geeignet sind Zertifizierungen nach ISO 27001 nativ oder ISO 27001 auf Basis IT-Grundschutz. Alternativ können auch Normen wie PCI DSS für Kreditkarten und der amerikanische Standard HIPAA für Gesundheitsdaten herangezogen werden.

Sicherheitsmaßnahmen der Betreiber kommerzieller Webseiten

... sowie Schutz der Bürger im Internet ist das Ziel Leider lässt das Gesetz offen, welche technischen und organisatorischen Maßnahmen zur Absicherung der IT-Systeme sowie zum Schutz vor unberechtigtem Zugriff nun konkret zu ergreifen sind. Benannt werden im Gesetzestext immerhin allgemeine Sicherheitsmaßnahmen. Dazu zählen die regelmäßige Aktualisierung der verwendeten (Shop-) Software, um Sicherheitspatches einzuspielen, sowie die Anwendung eines anerkannten Verschlüsselungsverfahrens und angemessenen Authentifizierungsverfahrens. Darüber hinaus sollen Werbedienstleister, denen Werbeflächen eingeräumt werden, zu Schutzmaßnahmen vertraglich verpflichtet werden.

Fazit

Das IT-Sicherheitsgesetz zielt darauf ab, die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürgerinnen und Bürger im Internet zu verbessern. Dabei bringt es für die betroffenen Unternehmen auch weitere, neue Compliance-Anforderungen – und wirft (noch) Fragen auf. Bei Verstößen drohen zwar empfindliche Bußgelder. Allerdings sind die Unsicherheiten teilweise noch recht hoch: Unklar ist bislang, welche Unternehmen nun genau zu Betreibern kritischer Infrastrukturen zählen. Wir raten Unternehmen, die unsicher sind, sich ans BSI zu wenden und dort nachzufragen. Denn auch hier gilt: Unwissenheit schützt vor Strafe nicht.

Zudem sieht das Gesetz nur kurze Umsetzungsfristen vor, sodass Unternehmen ihre IT-Infrastruktur einer raschen technischen wie rechtlichen Analyse unterziehen müssen: Gerade einmal zwei Jahre bleiben betroffenen Unternehmen und Institutionen, um ein ISMS zu etablieren. Für Webseitenbetreiber sind keine Übergangsfristen vorgesehen, die bußgeldbelegten Pflichten gelten daher ab sofort.

Wir raten deshalb allen betroffenen Unternehmen zu raschem, proaktivem Handeln!

Wie bewerten Sie das neue Gesetz? Halten Sie die getroffenen Vorgaben für ausreichend oder gar zu weitreichend? Ich freue mich auf Ihren Kommentar.

geschrieben von: Andreas Richter

Andreas Richter

Andreas Richter ist Mitglied der Geschäftsleitung bei GBS und verantwortet die weltweite Marketing- und Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten Know-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, Cloud und Compliance.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

1 Kommentar

  1. Puh, ich habe gerade schon einen riesen Schrecken bekommen, als ich die ganzen Maßnahmen und möglichen Geldbußen gelesen habe. Zum Glück gibt es die Ausnahmeregelung für Kleinstunternehmen, die unter einem Jahresumsatz von 2 Mio. liegen.

    Als Kleinunternehmer, der seine ersten kleinen Websites veröffentlicht und damit die verschiedensten Einahmequellen ausprobiert, wären das horende Kosten, die durch die Werbeeinnahmen über die Bannerwerbung, sicher nicht wieder reinkommen. Wenn ich für jede Website ein SSL-Zertifikat bestellen müsste, würden da ja schon einige Zusatzkosten auf mich zu kommen.

    Viele Grüße
    Enrico

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.