Was bedeutet das neue IT-Sicherheitsgesetz für Unternehmen?

Meldungen über den Cyberangriff auf den Bundestag oder auf Unternehmen finden sich nahezu jede Woche in den Medien, die Zahl der Bedrohungen aus dem Netz steigt kontinuierlich. Mit dem jüngst in Kraft getretenen IT-Sicherheitsgesetz reagiert der Gesetzgeber auf diese Entwicklungen. Ziel ist es, die Datensicherheit allgemein sowie den Schutz kritischer Infrastrukturen erheblich zu verbessern. Aber wie so oft, wirft das Gesetz zunächst mehr Fragen auf, als es Antworten parat hat: Wer fällt in den Geltungsbereich? Welche Maßnahmen müssen von den betroffenen Unternehmen ergriffen werden, um gesetzeskonform zu handeln? Und bis wann sind diese Maßnahmen umzusetzen? Unsere Experteneinschätzung gibt einen Überblick und praktikable Anleitungen, wie Sie Ihre Datensicherheit im Unternehmen präventiv verbessern.

Wer ist vom neuen IT-Sicherheitsgesetz betroffen?

Betreiber kritischer Infrastrukturen

Das Gesetz wendet sich primär an die „Betreiber kritischer Infrastrukturen“ gemäß § 2 Abs. 10 BSI-Gesetz. Dies können sowohl Unternehmen als auch Behörden sein. Dabei nennt das Gesetz bereits einige Sektoren, die grundsätzlich kritische Infrastrukturen betreiben. Dazu gehören folgende Branchen:

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung und
  • Finanz- und Versicherungswesen.

Welche Unternehmen aus diesen Branchen genau in den Anwendungsbereich des neuen IT-Sicherheitsgesetzes fallen, ist derzeit allerdings noch unklar.

Als allgemeines Merkmal einer kritischen Infrastruktur nennt das Gesetz, dass bei Ausfall oder Beeinträchtigung einer entsprechenden Einrichtung oder Anlage erhebliche Gefährdungen oder Versorgungsengpässe für die Allgemeinheit eintreten würden. Welche Bereiche konkret hierzu zu zählen sind, soll durch eine Rechtsverordnung bestimmt werden, die noch nicht erlassen wurde. Die Gesetzesbegründung selbst nennt aber bereits einige kritische Dienstleistungen, die regelmäßig betroffen sein dürften. Diese sind:

Sektor Energie

  • Stromversorgung
  • Versorgung mit Erdgas
  • Versorgung mit Mineralöl

Sektor Informationstechnik und Telekommunikation

  • Sprach- und Datenkommunikation
  • Verarbeitung und Speicherung von Daten

Sektor Transport und Verkehr

  • Transport von Gütern
  • Transport von Personen im Nah- und Fernbereich

Sektor Gesundheit

  • medizinische Versorgung
  • Versorgung mit Arzneimitteln und Medizinprodukten

Sektor Wasser

  • Trinkwasserversorgung
  • Abwasserbeseitigung

Sektor Ernährung

  • Versorgung mit Lebensmitteln

Sektor Finanz- und Versicherungswesen

  • Zahlungsverkehr Zahlungsdienstleistungen durch Überweisung, Zahlungskarten und E-Geld
  • Bargeldversorgung
  • Kreditvergabe
  • Geld- und Devisenhandel
  • Wertpapier- und Derivatehandel
  • Versicherungsleistungen

Als spezifizierender Faktor kommt hinzu, dass ein Ausfall eine erhebliche Anzahl an Personen betreffen könnte. Die konkreten Schwellenwerte stehen derzeit noch nicht fest; es bleibt abzuwarten, ob diese gegebenenfalls sektorspezifisch durch die geplante Rechtsverordnung bestimmt werden.

Betreiber gewerblicher Websites

Die Regelungen des neuen IT-Sicherheitsgesetzes erfassen aber grundsätzlich auch alle Unternehmen, die eine Website für ihre Produkte oder Dienstleistungen betreiben. So müssen nunmehr alle sogenannten Telemediendienstanbieter nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG) Maßnahmen nach dem Stand der Technik zur Absicherung Ihrer IT-Systeme ergreifen – allerdings nur, soweit dies technisch möglich und wirtschaftlich zumutbar ist.

Was müssen Unternehmen zur Erfüllung des IT-Sicherheitsgesetzes bis wann tun?

Maßnahmen für Betreiber kritischer Infrastrukturen

Bei Unternehmen und Behörden, die als Betreiber kritischer Infrastrukturen möglicherweise unter den Geltungsbereich des neuen IT-Sicherheitsgesetzes fallen, ist die Unsicherheit über zu ergreifende Maßnahmen derzeit am größten. Der Gesetzestext gibt vor, dass Betreiber kritischer Infrastrukturen verpflichtet sind, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.

Bei der Umsetzung ist stets der Stand der Technik zu berücksichtigen. Anhaltspunkte dafür, welche Maßnahmen dem Stand der Technik entsprechen, liefert ebenfalls die Gesetzesbegründung. Hier werden Punkte aufgeführt wie:

  • hat der Betreiber ein Informationsmanagementsystem (ISMS) eingeführt,
  • sind kritische Cyber-Assets identifiziert und gemanagt,
  • werden Maßnahmen zur Angriffsprävention und -erkennung betrieben,
  • ist ein Business Continuity Management (BCM) implementiert und
  • sind branchenspezifische Sicherheitsstandards umgesetzt?

Hilfreich um diese Punkte nachweislich umzusetzen ist insbesondere eine geeignete Zertifizierung. Diese werden vorzugsweise Zertifizierungen nach ISO 27001 nativ oder ISO 27001 auf Basis IT-Grundschutz sein. Alternativ können auch Normen wie PCI DSS für Kreditkartendaten und der amerikanische Standard HIPAA für Gesundheitsdaten herangezogen werden.

Da Betreiber kritischer Infrastrukturen spätestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen müssen, dass die ergriffenen Schutzmaßnahmen ausreichend sind, wird praktisch kein Weg an einer Zertifizierung vorbeiführen.

Kommt es dennoch zu einer Störung in der Funktionsfähigkeit, müssen Betreiber dem BSI unverzüglich Meldung erstatten. Diese Meldung soll durch eine neu einzurichtende Kontaktstelle mit einer 24/7-Erreichbarkeit erfolgen.

Unsere Expertentipps für Betreiber kritischer Infrastrukturen

Sind Sie nicht sicher, ob Sie ein Betreiber einer kritischen Infrastruktur sein könnten, sollten Sie sich nicht zurücklehnen und erst die Rechtsverordnung abwarten. Denn die Zeit zur Umsetzung der erforderlichen Maßnahmen könnte dann knapp werden. Um verifizierbar zu sein, müssen etwa Informationssicherheitsmanagementsysteme nicht nur eingerichtet sondern auch erfolgreich in Betrieb sein. Hierzu gehört, dass zumindest in Ansätzen auch ein Prozess der kontinuierlichen Verbesserung aufgebaut wurde. Diese Anforderung wird ein erst sehr kurzfristig eingerichtetes ISMS nicht sehr gut erfüllen können.

Angesichts der drohenden Bußgelder von bis zu 50.000 € sollten Unternehmen, die wahrscheinlich in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen, also insbesondere Unternehmen der genannten Branchen, frühzeitig handeln. Analysieren Sie bereits jetzt Ihre Prozesse, führen Sie eine Risikoanalyse durch um Ihre Schwachstellen zu identifizieren und leiten Sie daraus notwendige Maßnahmen ab. Hierfür können externe IT-Sicherheitsberatungen und Vor-Ort-Audits eine hilfreiche Unterstützung bieten. Unter Umständen können bereits Angebote zur Begleitung bei einer Zertifizierung nach ISO 27001 eingeholt werden.

Maßnahmen für Betreiber gewerblicher Websites

Webseitenbetreiber müssen ab sofort angemessen sicherstellen, dass kein unerlaubter Zugriff auf die für ihre Onlineangebote genutzten technischen Einrichtungen möglich ist. Zusätzlich müssen diese Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten und Störungen gesichert sein. Es werden dabei nur die Maßnahmen – technisch wie organisatorisch – gefordert, die für das Unternehmen technisch möglich und wirtschaftlich zumutbar sind. Welche technischen und organisatorischen Maßnahmen dabei konkret zu ergreifen sind, lässt das Gesetz leider offen. Einige allgemeine Sicherheitsmaßnahmen nennt die Gesetzesbegründung jedoch:

  • Die regelmäßige Aktualisierung der für das Webseitenangebot verwendeten Software (Einspielen von Sicherheitspatches).
  • Darüber hinaus wird explizit davon gesprochen, dass Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten sind.
  • Zur Absicherung der IT-Systeme und zum Schutz vor unberechtigtem Zugriff wird insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens genannt; bei personalisierten Telemedien eines angemessenen Authentifizierungsverfahrens.

Unsere Expertentipps für Betreiber gewerblicher Websites

Um in der Praxis keine bösen Überraschungen zu erleben, empfiehlt es sich die eigenen Sicherheitsmaßnahmen nicht zu niedrig anzusetzen und gegebenenfalls durch einen extern durchgeführten Penetrationstest überprüfen zu lassen. Eine einfache Möglichkeit zur Überprüfung der eigenen Web- und E-Mailserver auf eine sichere Verschlüsselungsmethode stellen auch die vielfach im Netz verfügbaren Online-Tests dar. Beispielhaft sei hier www.ssltools.net erwähnt.

Fazit: IT-Sicherheitsgesetz erfordert umgehendes Handeln!

In der Gesamtschau können Betreiber einer kritischen Infrastruktur den (noch) bestehenden Unsicherheiten des neuen IT-Sicherheitsgesetzes nur durch proaktives und präventives Handeln entgegenwirken. Da für Betreiber gewerblicher Websites keine Übergangsfristen vorgesehen sind, ist hier ein noch schnelleres Reagieren angezeigt, denn die bußgeldbewehrten Pflichten gelten ab sofort. Ergriffene Maßnahmen im Bereich IT- und Datensicherheit dienen jedoch nicht nur der Rechtskonformität. Richtig verstanden und umgesetzt, tragen sie zur Nachhaltigkeit des Wirtschaftens bei und können zu einem echten Wettbewerbsvorteil werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.