IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung?

Das Thema Kritis und IT-Sicherheitsgesetz nimmt in den letzten Wochen und Monaten richtig Fahrt auf. Erste Unternehmen setzen sich bereits aktiv damit auseinander und ergreifen erste Maßnahmen. Auch auf der CeBIT im März wurden Vorträge gehalten und Diskussionen geführt.

Das Thema ist spannend und in Bewegung — nach wie vor. Obwohl das IT-Sicherheitsgesetz bereits im Jahr 2015 verabschiedet wurde, kommt durch die nachträglichen und dringend notwendigen Konkretisierungen immer wieder neuer Schwung in die Sache. Zunächst sprach der Gesetzestext recht vage von „Betreibern Kritischer Infrastrukturen“, die mit dem Gesetz in die Pflicht genommen werden sollen, ohne jedoch zu konkretisieren, welche Unternehmen dies sein sollen.

Im Mai 2016 erschien immerhin der 1. Teil der sogenannten Kritis-Verordnung, der nun für einige Sektoren — Energie- und Wasserversorgung, Telekommunikation und Nahrungsmittelproduktion — eben jene unter das Gesetz fallende Unternehmen definiert. Der 2. Teil ist für dieses Frühjahr angekündigt und wird für die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Medizinische Versorgung definieren, was als Kritische Infrastruktur gilt und was nicht.

Kritische Infrastrukturen: Wer zählt dazu?

Die Kritis-Verordnung beinhaltet keine Vorgaben, wie eine IT-Infrastruktur aufzubauen oder abzusichern ist. Sie definiert anhand von Schwellenwerten, welche Infrastrukturen als kritisch einzustufen sind. Dem Gesetzgeber geht es dabei in erster Linie darum, die Versorgung der Bevölkerung zum Beispiel mit Wasser oder Strom sicherzustellen. Beim Sektor Wasser setzen sich die Schwellenwerte beispielsweise aus Wasser-Fördermengen zusammen; bei Energie dementsprechend aus Strom-, Gas- oder Ölversorgungsmengen und der Anzahl an Bewohnern, die von diesem Unternehmen beliefert werden. Erreicht ein Betreiber die Schwellenwerte, ist das IT-Sicherheitsgesetz für ihn bindend. Momentan läuft die Übergangsfrist. Soll heißen: Der Gesetzgeber gibt den Unternehmen zwei Jahre Zeit, um geeignete Maßnahmen zu ergreifen. Für Betreiber Kritischer Infrastrukturen nach Kritis-Verordnung Teil 1 läuft diese Frist bereits im Mai 2018 ab.

Wer bestimmt eigentlich, was State-of-the-Art ist?

Auch bei den Maßnahmen bleibt das Gesetz ungenau — hier jedoch aus gutem Grund. Es sieht nämlich vor, dass Betreiber Kritischer Infrastrukturen „organisatorische und technische Vorkehrungen“ nach dem „Stand der Technik“ zu treffen haben. Tatsächlich ist „Stand der Technik“ ein bewährter juristischer Begriff, der es dem Gesetzgeber erspart, immer wieder konkrete Techniken benennen zu müssen. Dafür dreht sich die IT-Welt einfach zu schnell.

Dennoch lässt sich einiges aus der Formulierung „Stand der Technik“ ableiten: Sie verweist auf bereits bestehende (und immer wieder aktualisierte) internationale und nationale Normen, wie DIN- oder ISO-Standards. Beispielsweise bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes an. Diese Norm beinhaltet unter anderem Rollen und Verantwortungen sowie organisatorische Maßnahmen und Hinweise für technische Maßnahmen. Ein konkreter Bestandteil der ISO 27001 ist beispielhaft die kontinuierliche Suche und Behebung von Schwachstellen im Unternehmen, woraus sich direkt ein Schwachstellen-Management herleiten lässt.

Weitreichende Folgen

Das IT-Sicherheitsgesetz wird auch langfristig ein Thema bleiben, mit dem Unternehmen sich beschäftigen müssen. Betreiber Kritischer Infrastrukturen sowieso, aber auch für jedes andere Unternehmen ist das Regelwerk interessant. Zeigt es doch deutlich, was Experten als „Mindestmaß an IT-Sicherheit“ ansehen und welche Auswirkungen IT-Pannen eben nicht nur für Kritische Infrastrukturen haben können. Wenn ein Unternehmen aufgrund eines Hackerangriffs tagelang nicht arbeiten kann oder gar Kundendaten ausspioniert werden, hilft die Rechtfertigung nicht, man falle ja nicht unter das IT-Sicherheitsgesetz und habe deshalb keine IT-Sicherheitsvorkehrungen getroffen.

Einen noch ausführlichen Bericht zu Kritis finden Sie in der Titelstory der IT-Sicherheit von Thomas Schneider Wann ist eine Infrastruktur kritisch?.