Pressemitteilung von Detlef Weidenhammer

IT-Sicherheitsgesetz (IT-SiG) verabschiedet - was kommt auf uns zu?

---

---

Berlin, 27.07.2015 - GAI NetConsult, Spezialist für Informationssicherheit bei Kritischen Infrastrukturen, veröffentlicht eine kritische Bewertung des IT-SiG und zeigt Hürden bei der Umsetzung auf.

Vor dem Hintergrund zunehmender Cyber-Angriffe auf Unternehmen, Betreiber Kritischer Infrastrukturen und staatliche Institutionen, verfolgt die Bundesregierung mit dem kürzlich verabschiedeten IT-SiG das Ziel, die IT-Sicherheit in Deutschland signifikant zu verbessern. Das Gesetz mit dem allumfassenden Namen "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" stellt Anforderungen für Mindeststandards an IT-Sicherheit auf und definiert Meldepflichten für erhebliche IT-Sicherheitsvorfälle. Betroffen sind insbesondere Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Geltungsbereich weiterhin unklar

Nach wie vor unklar ist, welche Unternehmen nun genau Betreiber Kritischer Infrastrukturen sein sollen. Die exakte Definition Kritischer Infrastrukturen und damit die Abgrenzung des Geltungsbereiches des Gesetzes sind weiterhin offen und werden erst per Rechtsverordnung durch das BMI (unter Einbeziehung der betroffenen Kreise aus Verwaltung, Wirtschaft und Wissenschaft) genauer festgelegt. Während der Gesetzesentwurf nach "aktuellen Schätzungen" die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2000 sieht, kommt eine Studie im Auftrag des BDI auf bis zu 18.000 Großunternehmen in den KRITIS-Sektoren. Hier drängt sich der Verdacht auf, dass der Gesetzgeber bei seinen Planungen von erheblich zu niedrigen Zahlen ausgegangen ist.

Abgrenzung zu branchenspezifischen Gesetzen und Sicherheitsstandards

Das IT-SiG ist kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen bereits bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Für Energienetzbetreiber (Strom und Gas) ändert sich durch das IT-SiG zunächst nur wenig, da sie bereits dem Energiewirtschaftsgesetz (EnWG) unterliegen und gesetzlich zur Umsetzung des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA) und zur Einhaltung von Mindeststandards zur IT-Sicherheit im Netzbetrieb verpflichtet sind. Anderes gilt bei Energieanlagenbetreibern und ggf. auch Energiehändlern, die virtuelle Kraftwerke betreiben. Sie kommen jetzt in die Obhut der BNetzA und unterliegen damit neu dem BnetzA IT-Sicherheitskatalog. Zudem ändern sich die Meldewege für Sicherheitsvorfälle (BSI statt BNetzA) und die damit verbundenen Auskunftspflichten ggü. dem BSI.

Änderungen für Energieversorger (EVU) in der Praxis

Für Umsetzungsprojekte bei EVUs bleibt noch die Veröffentlichung der endgültigen Version der IT-Sicherheitskataloge für Netz- und Anlagenbetreiber (sowie die Rechtsverordnung zu den KRITIS-relevanten Energieanlagen) abzuwarten, die allgemein für Q3/2015 erwartet wird. Die umzusetzenden Mindeststandards orientieren sich an der internationalen Normenreihe ISO/IEC 2700x, ergänzt um den IT-Sicherheitskatalog für Energienetze und -anlagen der Bundesnetzagentur (BNetzA). Im Kern wird die Einführung eines Informationssicherheitsmanagementsystems (ISMS, engl. Information Security Management System) - wie in der ISO/IEC 27001 beschrieben - verlangt. Weiterhin etabliert das IT-SiG eine Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen und verlangt die Einrichtung einer Kontaktstelle für die Störungsmeldungen, spätestens sechs Monate nach Erlass der Verordnung. Im Zwei-Jahres-Rhythmus ist nachzuweisen, wie diese Mindestanforderungen erfüllt werden.

Analyse und Planung für ein ISMS jetzt beginnen

Mit Blick auf die zu erwartenden gesetzlichen Fristen zur Einführung eines ISMS sollten EVUs und andere Unternehmen der KRITIS-Sektoren schon jetzt in die Planung einsteigen. Die Einführung eines ISMS und dessen Zertifizierung innerhalb von zwei Jahren bei Unternehmen, die hierfür noch keine ausreichenden Vorarbeiten aufweisen können, ist nahezu ein Ding der Unmöglichkeit. Der hierfür benötigte Aufwand auch bei den eigenen Mitarbeitern wird zumeist unterschätzt und ohne externe Hilfe mit fundierten Kenntnissen der ISO-Methodiken wird die Zielsetzung der Zertifizierungsfähigkeit nicht erreichbar sein. Weiterhin ist bei den prognostizierten Tausenden von betroffenen Unternehmen ein Run auf die entsprechend erfahrenen Beratungsunternehmen zu erwarten. Es empfiehlt sich also zur eigenen Risikominimierung, sich frühzeitig mit den Auswirkungen des IT-SiG zu beschäftigen.

IT-SiG ist bei allen Schwächen ein Schritt in die richtige Richtung

Eine ausführliche Diskussion des IT-SiG mit Details der Auswirkungen insbesondere für EVUs und andere KRITIS-Unternehmen findet sich im aktuellen Security Journal der GAI NetConsult. "Auch wenn viele Experten das IT-SiG mit dem berühmten Sprichwort too little, too late kommentieren, ist es ein Schritt in die richtige Richtung", sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. "Wir erwarten durch das IT-SiG, dass sich deutlich mehr Unternehmen in den KRITIS-Branchen intensiver mit dem Schutz ihrer Daten und Infrastruktur auseinandersetzen. Die Einführung eines Informationssicherheitsmanagementsystems sollte - unabhängig von den konkret gesetzlich geforderten Maßnahmen - immer die Basis einer Informationssicherheitsstrategie sein."

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Details zu den Beratungsangeboten der GAI NetConsult bei den Themen IT-Sicherheitsgesetz (IT-SiG) und generell zur Informationssicherheit im Bereich Kritischer Infrastrukturen mit Dienstleistungen wie IT-Sicherheitsaudits und BSI-Audits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de Firmen- & Pressekontakt