zurück Blog
mod IT Blog IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung?

Das Thema Kritis und IT-Sicherheitsgesetz nimmt in den letzten Wochen und Monaten richtig Fahrt auf. Erste Unternehmen setzen sich bereits aktiv damit auseinander und ergreifen erste Maßnahmen. Auch auf der CeBIT im März wurden Vorträge gehalten und Diskussionen geführt.

Das Thema ist spannend und in Bewegung – nach wie vor. Obwohl das IT-Sicherheitsgesetz bereits im Jahr 2015 verabschiedet wurde, kommt durch die nachträglichen und dringend notwendigen Konkretisierungen immer wieder neuer Schwung in die Sache. Zunächst sprach der Gesetzestext recht vage von „Betreibern Kritischer Infrastrukturen“, die mit dem Gesetz in die Pflicht genommen werden sollen, ohne jedoch zu konkretisieren, welche Unternehmen dies sein sollen.

Im Mai 2016 erschien immerhin der 1. Teil der sogenannten Kritis-Verordnung, der nun für einige Sektoren – Energie- und Wasserversorgung, Telekommunikation und Nahrungsmittelproduktion – eben jene unter das Gesetz fallende Unternehmen definiert. Der 2. Teil ist für dieses Frühjahr angekündigt und wird für die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Medizinische Versorgung definieren, was als Kritische Infrastruktur gilt und was nicht.

Kritische Infrastrukturen: Wer zählt dazu?

Die Kritis-Verordnung beinhaltet keine Vorgaben, wie eine IT-Infrastruktur aufzubauen oder abzusichern ist. Sie definiert anhand von Schwellenwerten, welche Infrastrukturen als kritisch einzustufen sind. Dem Gesetzgeber geht es dabei in erster Linie darum, die Versorgung der Bevölkerung zum Beispiel mit Wasser oder Strom sicherzustellen. Beim Sektor Wasser setzen sich die Schwellenwerte beispielsweise aus Wasser-Fördermengen zusammen; bei Energie dementsprechend aus Strom-, Gas- oder Ölversorgungsmengen und der Anzahl an Bewohnern, die von diesem Unternehmen beliefert werden. Erreicht ein Betreiber die Schwellenwerte, ist das IT-Sicherheitsgesetz für ihn bindend. Momentan läuft die Übergangsfrist. Soll heißen: Der Gesetzgeber gibt den Unternehmen zwei Jahre Zeit, um geeignete Maßnahmen zu ergreifen. Für Betreiber Kritischer Infrastrukturen nach Kritis-Verordnung Teil 1 läuft diese Frist bereits im Mai 2018 ab.

Wer bestimmt eigentlich, was State-of-the-Art ist?

Auch bei den Maßnahmen bleibt das Gesetz ungenau – hier jedoch aus gutem Grund. Es sieht nämlich vor, dass Betreiber Kritischer Infrastrukturen „organisatorische und technische Vorkehrungen“ nach dem „Stand der Technik“ zu treffen haben. Tatsächlich ist „Stand der Technik“ ein bewährter juristischer Begriff, der es dem Gesetzgeber erspart, immer wieder konkrete Techniken benennen zu müssen. Dafür dreht sich die IT-Welt einfach zu schnell.

Dennoch lässt sich einiges aus der Formulierung „Stand der Technik“ ableiten: Sie verweist auf bereits bestehende (und immer wieder aktualisierte) internationale und nationale Normen, wie DIN- oder ISO-Standards. Beispielsweise bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes an. Diese Norm beinhaltet unter anderem Rollen und Verantwortungen sowie organisatorische Maßnahmen und Hinweise für technische Maßnahmen. Ein konkreter Bestandteil der ISO 27001 ist beispielhaft die kontinuierliche Suche und Behebung von Schwachstellen im Unternehmen, woraus sich direkt ein Schwachstellen-Management herleiten lässt.

Weitreichende Folgen

Das IT-Sicherheitsgesetz wird auch langfristig ein Thema bleiben, mit dem Unternehmen sich beschäftigen müssen. Betreiber Kritischer Infrastrukturen sowieso, aber auch für jedes andere Unternehmen ist das Regelwerk interessant. Zeigt es doch deutlich, was Experten als „Mindestmaß an IT-Sicherheit“ ansehen und welche Auswirkungen IT-Pannen eben nicht nur für Kritische Infrastrukturen haben können. Wenn ein Unternehmen aufgrund eines Hackerangriffs tagelang nicht arbeiten kann oder gar Kundendaten ausspioniert werden, hilft die Rechtfertigung nicht, man falle ja nicht unter das IT-Sicherheitsgesetz und habe deshalb keine IT-Sicherheitsvorkehrungen getroffen.

Einen noch ausführlichen Bericht zu Kritis finden Sie in der Titelstory der IT-Sicherheit von Thomas Schneider Wann ist eine Infrastruktur kritisch?.

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr
Wann hatten Sie Ihre letzte Datenpanne? mehr
Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr

AKTUELLE ARTIKEL

IT-ServiceDesk Agent

IT-ServiceDesk Agent m/w

Wir suchen ab sofort und unbefristet für unseren Standort in Einbeck einen IT-ServiceDesk Agent m/w. Ihr Schwerpunkt: IT Service / IT Administration First- und Second-Level-Support   Ihr Job: Im Single Point of Contact 1st- und […]

mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr