Das IT-Sicherheitsgesetz in der Praxis

Nachhaltige Cyber-Defense in der Praxis

15.12.2015 von Norman Wenk

Die aktuelle Lage zur Informations- und IT-Sicherheit bleibt angespannt. Unternehmen, öffentliche Einrichtungen aber auch Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) werden zunehmend Ziel von technologisch immer ausgereifteren und komplexeren Cyber-Angriffen.

Mit dem IT-Sicherheitsgesetz stehen Unternehmen vor der Herausforderung, ihre Ressouren schützen zu müssen.
Foto: wavebreakmedia - shutterstock.com

Die Zahl der Meldungen über Informations- und Datenverluste oder Angriffe auf die IT von Unternehmen nimmt stetig zu. Kaum ein Tag vergeht, an dem nicht neue Schwachstellen veröffentlicht werden.Die hohe Geschwindigkeit von Innovationen (Bring your own Device, Cloud Technologie, Big Data, Industrie 4.0 oder Internet of Things) und die gleichzeitig beschränkten Ressourcen für Informationssicherheit bilden ein Spannungsfeld aus Sicherheitsanforderungen, Kosten und dem effektivem Einsatz neuer Technologien.

Die zunehmende Digitalisierung vieler Geschäftsprozesse sowie die damit verbundene technologische Vernetzung führen zudem zu einem dynamischen und schwer zu kontrollierenden Austausch von vielen, teilweise sehr kritischen, Informationen und Daten innerhalb der Organisationen oder über Unternehmensgrenzen hinweg. Zwischen dieser zunehmend an Bedeutung gewinnenden Digitalisierung aller Businessbereiche auf der einen und den immer umfangreicheren regulativen Vorgaben und Gesetzen auf der anderen Seite fällt es schwer, den Überblick zu behalten. Eine den eigenen Sicherheitsanforderungen gerecht werdende Vorgehensweise zu finden, um den aktuellen und zukünftigen Bedrohungen begegnen zu können, ist eine weitere anspruchsvolle Aufgabe.

Das IT-Sicherheitsgesetz

Abbildung 1: Dynamische Einflussfaktoren durch zunehmende Digitalisierung im Business.
Foto: NTT Com Security

Im Zuge des am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetzes stehen Unternehmen vor der Herausforderung, eine für sie angemessene Good Practice zu entwickeln und umzusetzen.Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das Änderungen unterschiedlicher Gesetze wie BSIG, EnWG, AtG, TMG und TKG (BSIG: BSI Gesetz, EnWG: Energiewirtschaftsgesetz, AtG: Atomgesetz, TMG: Telemediengesetz, TKG: Telekommunikationsgesetz) umfasst. Ziel des Gesetzes ist die Verbesserung der Sicherheit der IT-Systeme bezogen auf ihre Verfügbarkeit, Vertraulichkeit, und Authentizität.Der Fokus der gesetzlichen Änderungen des BSIG liegt auf den sogenannten Kritischen Infrastrukturen aus den folgenden Sektoren (Definition gemäß §2 BSIG):

Informations- und Kommunikationstechnik (IKT),
Energie und Wasser.
Ernährung· Transport und Verkehr,
Gesundheit,
Finanz- und Versicherungswesen.

Unter den Begriff "Kritische Infrastrukturen" fallen im Allgemeinen Unternehmen und Organisationen, die "[… ] von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden". Unternehmen konkret als KRITIS einzustufen sind, wird aktuell in Rechtsverordnungen zum §10 (2) BSI-Gesetz durch das BSI erarbeitet ("KRITIS-VO" im UP-KRITIS des BSI).

Mit dieser Rechtsverordnung werden Schwellenwerte für die verschiedenen Branchen vorgegeben, ab deren Überschreitung die Regelungen für Kritische Infrastrukturen zur Anwendung kommen. Danach liegt es in der Verantwortung der einzelnen Unternehmen und Organisationen zu prüfen, ob sie diese Schwellenwerte erreichen und somit den genannten Anforderungen unterliegen. Der konkrete Zeitpunkt für die Veröffentlichung der Verordnung ist noch nicht bekannt gegeben; eine Art "offizielle Liste" aller Unternehmen, die in den Bereich der Kritischen Infrastrukturen fallen, ist nicht geplant.

Kernmaßnahmen

Die Betreiber Kritischer Infrastrukturen werden nach dem IT-Sicherheitsgesetz zu folgenden Kernmaßnahmen verpflichtet:

Ein Mindestniveau an IT-Sicherheit nach dem Stand der Technik zu gewährleisten / einzuhalten und dieses alle zwei Jahre über Sicherheitsaudits, Prüfungen bzw. Zertifizierungen nachzuweisen. Sicherheitsmängel müssen dabei dem BSI über die Bereitstellung von Audit-Ergebnissen mitgeteilt werden.
Maßnahmen und Kommunikationswege für die Erkennung und Meldung von Sicherheitsvorfällen sind zu etablieren, um der Meldepflicht an das BSI für Vorfälle, die zu einem Ausfall geführt haben oder dazu führen könnten, nachkommen zu können.

Die Umsetzung der Maßnahmen muss laut § 8a BSIG innerhalb von zwei Jahren nach Veröffentlichung der Rechtsverordnungen erfolgen. Organisationen mit weniger als zehn Mitarbeitern bzw. weniger als zwei Millionen Euro Jahresumsatz sowie Unternehmen, die aufgrund anderer Rechtsvorschriften bereits weitergehende Anforderungen erfüllen müssen, sind ausgenommen.

Um die erforderlichen Maßnahmen ganzheitlich umzusetzen und die Nachhaltigkeit zu gewährleisten, ist die Einführung eines Managementsystems für Informationssicherheit (ISMS) basierend auf anerkannten Standards empfehlenswert und notwendig.

Ein, auf Basis der ISO 27001 oder dem BSI IT-Grundschutz basierendes, ISMS ist unabhängig von regulatorischen Anforderungen und Gesetzen und für Unternehmen und Organisationen eine wertvolle Managementmethode zur effektiven und effizienten Steuerung der Informations- und Datensicherheit. Auf diesem Weg können die eigenen unternehmerischen Interessen und Ziele geschützt werden.

Schrittweise ISMS-Einführung

Die folgenden Schritte führen zur strukturierten Einführung eines ISMS im Rahmen eines PDCA (Plan-Do-Check-Act)-Zyklus:

Festlegung des Anwendungsbereichs (Scope),
Inventarisieren der Werte (Assets),
Analysieren und Behandeln von Risiken,
Maßnahmen festlegen und umsetzen,
Regelmäßiges Review und kontinuierliche Verbesserung.

Informationssicherheit als Prozess.
Foto: NTT Com Security

Bei der Definition des Anwendungsbereichs (Scope) des ISMS geht es darum, den Rahmen für einen effektiven Schutz der relevanten Umgebungen und Systeme festzulegen. Es wird eine Dokumentation erstellt, in der unter anderem die Geschäftsziele und -bereiche des jeweiligen Unternehmens, dessen Organisationsstruktur, die Wirtschaftsgüter sowie die eingesetzten Technologien aufgeführt sind.

Im nächsten Schritt werden die im Scope enthaltenen Unternehmenswerte (Assets) erhoben und dokumentiert bzw. die bereits bestehende Asset-Liste ergänzt.

Risikoeinschätzung und Risikobehandlung.
Foto: NTT

Basierend auf einem zuvor festgelegten systematischen Ansatz (u.a. ISO / IEC 27005 bzw. 31000), der an den Geschäftszielen des jeweiligen Unternehmens ausgerichtet ist, werden die Risiken anschließend analysiert und bewertet. Im Rahmen der Risikobehandlung werden Maßnahmen entsprechend der gewählten Risikobehandlungsstrategie identifiziert, priorisiert und umgesetzt. Ziel ist hierbei, die Risiken auf ein für das Unternehmen akzeptables Niveau zu senken (Akzeptanz des Restrisikos möglich).

Die Vorgehensweise zur Einführung der Maßnahmen richtet sich nach der Governance-Struktur der Informationssicherheit. Auf diese Art und Weise wird der organisatorische Kontext berücksichtigt und sichergestellt, dass sich diese Maßnahmen zur Einführung des geforderten Mindestniveaus an IT-Sicherheit an den Geschäftszielen und den unternehmerischen Rahmenbedingungen eines Unternehmens orientieren.

PDCA-Modell

Governance Struktur für Informationssicherheit.
Foto: NTT

Für eine erfolgreiche und nachhaltig zweckmäßige Einführung eines ISMS ist es zwingend erforderlich, das etablierte Framework und die Maßnahmen kontinuierlich auf Wirksamkeit zu prüfen und im Bedarfsfall anzupassen. Der Nutzen von Informationssicherheit und deren Verankerung innerhalb einer Organisation ergibt sich durch deren Einbindung als regelmäßigen Prozesses innerhalb der Organisationsstrukturen eines Unternehmens. Dies kann idealerweise im Rahmen eines "Plan-Do-Check-Act- Modells" (PDCA-Modell) für die Prozesse des ISMS erreicht werden.

Unabhängig der gesetzlichen Anforderungen ergeben sich durch die notwendigen Maßnahmen wie die Einführung eines ISMS zudem massive Chancenpotenziale, um die eigenen unternehmerischen Interessen und Ziele zu schützen:

Vermeidung potenzieller Schäden (finanzielle und Reputationsschäden) durch Etablierung eines Mindestniveaus an Informationssicherheit, strukturiert nach Vorgaben/Standards und priorisierten Richtlinien, die auf dem ISMS basieren.
aktives und nachhaltiges Management potenzieller Sicherheitsrisiken sowie eine Cyber-Defense-Strategie unter anderem durch Etablierung eines ISMS sowie eines Security Incident Management-Prozesses.
Nutzung der Audit-Ergebnisse zur kontinuierlichen Weiterentwicklung.

Unternehmen, die zwar nicht zu den Kritischen Infrastrukturen gehören, aber Betreiber von Online-Shops oder anderen kommerziellen Webdiensten sind, sind nach dem IT-Sicherheitsgesetz, hier speziell Änderung des TMG, außerdem dazu verpflichtet, Mindestanforderungen an die IT-Sicherheit nach dem Stand der Technik umzusetzen und nachzuweisen.

Fazit

Es ist davon auszugehen, dass das Gesetz für ein höheres Sicherheitsniveau in der Informationstechnologie sorgen wird. Derzeit sind einige Begriffsdefinitionen teilweise noch unscharf formuliert und der Anwendungsbereich durch fehlende Rechtsverordnungen unklar. Grundsätzlich beinhaltet die Umsetzungsanforderung Handlungsspielräume bezüglich der Fertigungstiefe und des notwendigen Reifegrades, wenn mit der Ausgestaltung das notwendige Mindestniveau erreicht und der erforderliche Standard angemessen erfüllt werden soll.