mod IT Blog IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung

18. April 2017

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung?

Das Thema Kritis und IT-Sicherheitsgesetz nimmt in den letzten Wochen und Monaten richtig Fahrt auf. Erste Unternehmen setzen sich bereits aktiv damit auseinander und ergreifen erste Maßnahmen. Auch auf der CeBIT im März wurden Vorträge gehalten und Diskussionen geführt.

Das Thema ist spannend und in Bewegung – nach wie vor. Obwohl das IT-Sicherheitsgesetz bereits im Jahr 2015 verabschiedet wurde, kommt durch die nachträglichen und dringend notwendigen Konkretisierungen immer wieder neuer Schwung in die Sache. Zunächst sprach der Gesetzestext recht vage von „Betreibern Kritischer Infrastrukturen“, die mit dem Gesetz in die Pflicht genommen werden sollen, ohne jedoch zu konkretisieren, welche Unternehmen dies sein sollen.

Im Mai 2016 erschien immerhin der 1. Teil der sogenannten Kritis-Verordnung, der nun für einige Sektoren – Energie- und Wasserversorgung, Telekommunikation und Nahrungsmittelproduktion – eben jene unter das Gesetz fallende Unternehmen definiert. Der 2. Teil ist für dieses Frühjahr angekündigt und wird für die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Medizinische Versorgung definieren, was als Kritische Infrastruktur gilt und was nicht.

Kritische Infrastrukturen: Wer zählt dazu?

Die Kritis-Verordnung beinhaltet keine Vorgaben, wie eine IT-Infrastruktur aufzubauen oder abzusichern ist. Sie definiert anhand von Schwellenwerten, welche Infrastrukturen als kritisch einzustufen sind. Dem Gesetzgeber geht es dabei in erster Linie darum, die Versorgung der Bevölkerung zum Beispiel mit Wasser oder Strom sicherzustellen. Beim Sektor Wasser setzen sich die Schwellenwerte beispielsweise aus Wasser-Fördermengen zusammen; bei Energie dementsprechend aus Strom-, Gas- oder Ölversorgungsmengen und der Anzahl an Bewohnern, die von diesem Unternehmen beliefert werden. Erreicht ein Betreiber die Schwellenwerte, ist das IT-Sicherheitsgesetz für ihn bindend. Momentan läuft die Übergangsfrist. Soll heißen: Der Gesetzgeber gibt den Unternehmen zwei Jahre Zeit, um geeignete Maßnahmen zu ergreifen. Für Betreiber Kritischer Infrastrukturen nach Kritis-Verordnung Teil 1 läuft diese Frist bereits im Mai 2018 ab.

Wer bestimmt eigentlich, was State-of-the-Art ist?

Auch bei den Maßnahmen bleibt das Gesetz ungenau – hier jedoch aus gutem Grund. Es sieht nämlich vor, dass Betreiber Kritischer Infrastrukturen „organisatorische und technische Vorkehrungen“ nach dem „Stand der Technik“ zu treffen haben. Tatsächlich ist „Stand der Technik“ ein bewährter juristischer Begriff, der es dem Gesetzgeber erspart, immer wieder konkrete Techniken benennen zu müssen. Dafür dreht sich die IT-Welt einfach zu schnell.

Dennoch lässt sich einiges aus der Formulierung „Stand der Technik“ ableiten: Sie verweist auf bereits bestehende (und immer wieder aktualisierte) internationale und nationale Normen, wie DIN- oder ISO-Standards. Beispielsweise bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes an. Diese Norm beinhaltet unter anderem Rollen und Verantwortungen sowie organisatorische Maßnahmen und Hinweise für technische Maßnahmen. Ein konkreter Bestandteil der ISO 27001 ist beispielhaft die kontinuierliche Suche und Behebung von Schwachstellen im Unternehmen, woraus sich direkt ein Schwachstellen-Management herleiten lässt.

Weitreichende Folgen

Das IT-Sicherheitsgesetz wird auch langfristig ein Thema bleiben, mit dem Unternehmen sich beschäftigen müssen. Betreiber Kritischer Infrastrukturen sowieso, aber auch für jedes andere Unternehmen ist das Regelwerk interessant. Zeigt es doch deutlich, was Experten als „Mindestmaß an IT-Sicherheit“ ansehen und welche Auswirkungen IT-Pannen eben nicht nur für Kritische Infrastrukturen haben können. Wenn ein Unternehmen aufgrund eines Hackerangriffs tagelang nicht arbeiten kann oder gar Kundendaten ausspioniert werden, hilft die Rechtfertigung nicht, man falle ja nicht unter das IT-Sicherheitsgesetz und habe deshalb keine IT-Sicherheitsvorkehrungen getroffen.

Einen noch ausführlichen Bericht zu Kritis finden Sie in der Titelstory der IT-Sicherheit von Thomas Schneider Wann ist eine Infrastruktur kritisch?.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

IT-Spezialisten von mod it im Gespräch

Digitalisierung und die Zukunft des Mittelstands

Seit mehr als einem Jahrhundert gilt der Mittelstand als der Ursprung und das Fundament deutscher Wirtschaftskraft. Weil er so wichtig für uns ist, wird im öffentlichen Diskurs immer wieder gefragt: Welche Bedürfnisse hat er? Ist […]

weiterlesen
Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu weiterlesen

AKTUELLE ARTIKEL

Der Artikel als Bild

Oktober 2019 – IT for Future

Es gibt viele gute Gründe für eine Ausbildung bei mod IT Services. Dazu gehören die familiäre Atmosphäre, eine enge Begleitung während der gesamten Ausbildung und auch die Spezialisierung nach persönlichen Stärken. Und natürlich die guten […]

weiterlesen
Oktober 2019 – Ein Blick hinter die Kulissen von mod IT Services weiterlesen
Pentesting: Die Kunst, Hackern einen Schritt voraus zu sein weiterlesen
Next Generation Anti-Virus-Schutz: Den Angreifern einen Schritt voraus sein weiterlesen