zurück Blog
mod IT Blog IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung?

Das Thema Kritis und IT-Sicherheitsgesetz nimmt in den letzten Wochen und Monaten richtig Fahrt auf. Erste Unternehmen setzen sich bereits aktiv damit auseinander und ergreifen erste Maßnahmen. Auch auf der CeBIT im März wurden Vorträge gehalten und Diskussionen geführt.

Das Thema ist spannend und in Bewegung – nach wie vor. Obwohl das IT-Sicherheitsgesetz bereits im Jahr 2015 verabschiedet wurde, kommt durch die nachträglichen und dringend notwendigen Konkretisierungen immer wieder neuer Schwung in die Sache. Zunächst sprach der Gesetzestext recht vage von „Betreibern Kritischer Infrastrukturen“, die mit dem Gesetz in die Pflicht genommen werden sollen, ohne jedoch zu konkretisieren, welche Unternehmen dies sein sollen.

Im Mai 2016 erschien immerhin der 1. Teil der sogenannten Kritis-Verordnung, der nun für einige Sektoren – Energie- und Wasserversorgung, Telekommunikation und Nahrungsmittelproduktion – eben jene unter das Gesetz fallende Unternehmen definiert. Der 2. Teil ist für dieses Frühjahr angekündigt und wird für die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Medizinische Versorgung definieren, was als Kritische Infrastruktur gilt und was nicht.

Kritische Infrastrukturen: Wer zählt dazu?

Die Kritis-Verordnung beinhaltet keine Vorgaben, wie eine IT-Infrastruktur aufzubauen oder abzusichern ist. Sie definiert anhand von Schwellenwerten, welche Infrastrukturen als kritisch einzustufen sind. Dem Gesetzgeber geht es dabei in erster Linie darum, die Versorgung der Bevölkerung zum Beispiel mit Wasser oder Strom sicherzustellen. Beim Sektor Wasser setzen sich die Schwellenwerte beispielsweise aus Wasser-Fördermengen zusammen; bei Energie dementsprechend aus Strom-, Gas- oder Ölversorgungsmengen und der Anzahl an Bewohnern, die von diesem Unternehmen beliefert werden. Erreicht ein Betreiber die Schwellenwerte, ist das IT-Sicherheitsgesetz für ihn bindend. Momentan läuft die Übergangsfrist. Soll heißen: Der Gesetzgeber gibt den Unternehmen zwei Jahre Zeit, um geeignete Maßnahmen zu ergreifen. Für Betreiber Kritischer Infrastrukturen nach Kritis-Verordnung Teil 1 läuft diese Frist bereits im Mai 2018 ab.

Wer bestimmt eigentlich, was State-of-the-Art ist?

Auch bei den Maßnahmen bleibt das Gesetz ungenau – hier jedoch aus gutem Grund. Es sieht nämlich vor, dass Betreiber Kritischer Infrastrukturen „organisatorische und technische Vorkehrungen“ nach dem „Stand der Technik“ zu treffen haben. Tatsächlich ist „Stand der Technik“ ein bewährter juristischer Begriff, der es dem Gesetzgeber erspart, immer wieder konkrete Techniken benennen zu müssen. Dafür dreht sich die IT-Welt einfach zu schnell.

Dennoch lässt sich einiges aus der Formulierung „Stand der Technik“ ableiten: Sie verweist auf bereits bestehende (und immer wieder aktualisierte) internationale und nationale Normen, wie DIN- oder ISO-Standards. Beispielsweise bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes an. Diese Norm beinhaltet unter anderem Rollen und Verantwortungen sowie organisatorische Maßnahmen und Hinweise für technische Maßnahmen. Ein konkreter Bestandteil der ISO 27001 ist beispielhaft die kontinuierliche Suche und Behebung von Schwachstellen im Unternehmen, woraus sich direkt ein Schwachstellen-Management herleiten lässt.

Weitreichende Folgen

Das IT-Sicherheitsgesetz wird auch langfristig ein Thema bleiben, mit dem Unternehmen sich beschäftigen müssen. Betreiber Kritischer Infrastrukturen sowieso, aber auch für jedes andere Unternehmen ist das Regelwerk interessant. Zeigt es doch deutlich, was Experten als „Mindestmaß an IT-Sicherheit“ ansehen und welche Auswirkungen IT-Pannen eben nicht nur für Kritische Infrastrukturen haben können. Wenn ein Unternehmen aufgrund eines Hackerangriffs tagelang nicht arbeiten kann oder gar Kundendaten ausspioniert werden, hilft die Rechtfertigung nicht, man falle ja nicht unter das IT-Sicherheitsgesetz und habe deshalb keine IT-Sicherheitsvorkehrungen getroffen.

Einen noch ausführlichen Bericht zu Kritis finden Sie in der Titelstory der IT-Sicherheit von Thomas Schneider Wann ist eine Infrastruktur kritisch?.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

On Premise war gestern – das neue Arbeiten in der Cloud mehr
In den Unternehmen ist Blackberry wieder eine Macht mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr

AKTUELLE ARTIKEL

06.02.2018 – 16 Unternehmen in Göttingen und Northeim top – aber Personalnot droht mehr
01.12.2017 – Arbeitgeber des Mittelstands 2018 mehr
21.12.2017 – FOCUS BUSINESS bewertet die besten Arbeitgeber im Mittelstand: mod IT Services auf Platz 2 in Niedersachsen mehr
mod wünscht fröhliche Weihnachten mehr