Anfang Juni kam das BremSec-Forum zusammen, um über das neue IT-Sicherheitsgesetz zu diskutieren, das letzte Woche verabschiedet wurde. Dieses Gesetz wird für Betreiber Kritischer Infrastrukturen (KRITIS) sowie Unternehmen größere Änderungen bei der Handhabung von Sicherheitsvorfällen bedeuten. Um für die neuen Anforderungen gerüstet zu sein, hat daher die DECOIT GmbH bereits jetzt Forschungsanträge mit KRITIS-Betreibern initiiert.

Heutzutage gibt es diverse Sicherheitsvorfälle im Unternehmensumfeld. Zusätzlich steigt die Abhängigkeit vom Internet. Deutschland ist permanenten Cyber-Angriffen ausgesetzt. Dabei handelt es sich inzwischen um wirkliche Verbrechen und keine Kavaliersdelikte mehr. Zero-Day-Exploits (bekannte Schwachstellen) werden immer mehr ausgenutzt. Das kann besonders in KRITIS-Umgebungen (z.B. dem Stromnetz) enorme Schäden hervorrufen. Die Kernziele des IT-Sicherheitsgesetzes sind daher: Verbesserung der IT-Sicherheit eines Unternehmens, insbesondere bei KRITIS, Schutz der Bürger in einem sicheren Netz und der Schutz der IT des Bundes. Dazu müssen diverse Gesetze angepasst werden (BSIG, TMG, TKG, EnWG, AtG, AWG, BKAG).

Kernänderung des IT-Sicherheitsgesetzes

Als Kernänderung des IT-Sicherheitsgesetzes können folgende Punkte genannt werden:

1. Meldepflicht von Unternehmen im Falle eines Angriffs auf die Systeme
2. Festlegung von Sicherheitsstandards
3. Erweiterte Informationspflicht der Telekommunikationsanbieter
4. Etablierung und Stärkung des BSI als Aufsichtsbehörde

Neue Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik

Durch die Meldepflicht erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) ganz neue Aufgaben und Befugnisse. So wandelt es sich immer mehr zu einer nationalen Informationssicherheitsbehörde. Das BSI kann KRITIS-Betreiber bei der Absicherung beraten sowie unterstützen und wird zur zentralen Meldestelle für IT-Sicherheit. Dadurch erhält es die Befugnis über bekannt gewordene Sicherheitslücken zu informieren. Das BSI kann weiterhin IT-Produkte, Systeme und Dienste selbst oder mithilfe von Dritten untersuchen, um den Schutz vor Störungen zu gewährleisten. Die gewonnenen Erkenntnisse können weitergeben und veröffentlicht werden. Auf jeden Fall ist das BSI verpflichtet, dem Bundesministerium des Innern in einem jährlichen Lagebericht über seine Tätigkeiten Auskunft zu geben.

Auswirkungen auf Unternehmen

Das IT-Sicherheitsgesetz hat große Auswirkungen auf KRITIS-Betreiber, da sie die Erfüllung der Sicherheitsstandards mindestens alle zwei Jahre nachweisen müssen. Dies kann durch Audits erfolgen. Zudem müssen sie eine Kontaktperson für das BSI benennen und sind verpflichtet IT-Störungen unverzüglich dem BSI zu melden. Die Meldungen sollen allerdings anonym erfolgen und nur bei Gefährdung von Systemen und nicht bei Eintritt einer Störung. Diese Pflichten bestehen auch dann, wenn Unternehmen ihre IT durch externe Dienstleister betreiben lassen. Ein betroffenes Unternehmen muss daher an der Definition von Sicherheitsstandards arbeiten und ein Betriebskontinuitätsmanagement implementieren. Dadurch entstehen zusätzliche Kosten (zusätzliche Audits, zusätzliche Überwachungssysteme, zusätzliche Mitarbeiter).

Das neue IT-Sicherheitsgesetz wurde in der letzten Woche verabschiedet. Aktuell sind noch keine Sanktionen für die Nichteinhaltung definiert. Die BSI-Vorgaben werden mit dem Gesetz zum Standard und dies wird auch Auswirkungen auf Unternehmen haben, die keine kritischen Infrastrukturen betreiben. Grund genug also für die DECOIT GmbH diese Thematik bereits jetzt in Forschungsanträgen zu berücksichtigen, um für die nahe Zukunft gerüstet zu sein.

Bei Bedarf besprechen wir mit Ihnen Einzelheiten und erörtern die Auswirkung des neuen Gesetzes speziell auf Ihr Unternehmen.
Sprechen Sie uns an, wir beraten Sie gern!