IT-Sicherheitsgesetz: Die Uhr tickt

IT-Sicherheitsgesetz: Schonzeit endet

In einem Jahr müssen die ersten Unternehmen die Umsetzung liefern. Trotz offener Fragen.

Keyfacts über IT-Sicherheitsgesetz

  • Seit Mai sind drei weitere Sektoren betroffen
  • Gesetz erfordert teils neue IT-Strukturen
  • Mittelstand verlangt mehr Unterstützung
Zusammenfassung lesen

Die Hackerattacke trifft das Groß-Klinikum an unerwarteter Stelle. Der Virus übernimmt die vernetzten Desinfektionsautomaten für gebrauchte OP-Bestecke – und legt sie lahm. Jetzt lassen sich mit den medizinischen Geschirrspülern keine Instrumente mehr steril machen. Die Konsequenz ist abzusehen: Der Vorrat an keimfreiem Werkzeug schwindet schnell und Eingriffe werden unmöglich. So kann das Krankenhaus eine seiner elementaren Dienstleistungen nicht weiter ausführen. Nach dem neuen IT-Sicherheitsgesetz ist das ein möglicher Fall für die Meldepflicht.

IT-Sicherheitsgesetz: Drei neue Sektoren mit im Boot

Das IT-Sicherheitsgesetz soll Unternehmen dazu bringen, sich besser auf solche Gefahren vorzubereiten. Erst Ende Mai schaltete das Bundeskabinett die Regelungen in den Sektoren Transport und Verkehr, Finanz- und Versicherungswesen und Gesundheit scharf. Grundlage ist eine Verordnung, die in spätestens zwei Jahren umgesetzt sein muss. Nur halb so lange bleibt den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung. Für sie tickt die Uhr bereits seit der ersten Verordnung im Mai 2016. Ein Jahr ist sehr wenig Zeit, zumal Teile der Regelung noch Interpretationsspielraum lassen.

Das Ziel: Standards für mehr Cyber-Sicherheit

Zur Erinnerung: Am 25. Juli 2015 passierte das IT-Sicherheitsgesetz den Bundestag. Sein Ziel sind Mindeststandards bei der IT-Sicherheit von Unternehmen, die zu sensiblen Sektoren gehören. Es dient damit dem Schutz sogenannter Kritischer Infrastrukturen (KRITIS) vor Cyber-Angriffen. Kritische Infrastrukturen sind laut dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

1

Million Euro – so viel kalkulieren zwölf Prozent der KRITIS-Unternehmen jeweils für die Umsetzung ein.

Veranschaulichen wir das an einem Beispiel: Cyber-Kriminelle greifen ein Kraftwerk in Berlin an und kappen den Strom. Damit gehen in hunderttausenden Haushalten alle Lichter aus, weil der gehackte Energielieferant seine Kritische Dienstleistung Stromversorgung nicht mehr gewährleisten kann. Das hat weitreichende Folgen für die öffentliche Sicherheit und muss deshalb dem BSI angezeigt werden.

Ein zentrales Element: Die Meldepflicht

Die Meldepflicht ist aber nicht die einzige Auflage, die KRITIS-Unternehmen nach dem IT-Sicherheitsgesetz erfüllen müssen. Sie brauchen auch ein Informationssicherheitsmanagementsystem (ISMS) und haben dafür in Technik und Organisation zu investieren. Vielfach sind IT-Strukturen komplett zu überdenken und Mitarbeiter für das Thema zu sensibilisieren. Das lässt sich nicht einfach aus dem Ärmel schütteln.

Allein schon aus finanziellen Gründen. 60 Prozent der betroffenen Unternehmen können ihren Mehraufwand bereits einschätzen, wie jüngst eine KPMG-Umfrage ergab. Demnach rechnen die meisten mit zusätzlichen Kosten zwischen 10.000 und 100.000 Euro. Zwölf Prozent der Firmen kalkulieren sogar jeweils bis zu einer Million Euro für die Umsetzung ein.

Was ist der „Stand der Technik“?

Noch ist nicht ganz klar, welche Maßstäbe für die Cyber-Sicherheit einer Kritischen Infrastruktur gelten. Das Gesetz fordert hier den „Stand der Technik“ ein. Doch was genau heißt das? Das müssen die KRITIS-Unternehmen selbst erarbeiten – ganz im Sinne des Gesetzgebers. Der möchte, dass die Branchenverbände spezifische IT-Sicherheitsstandards entwickeln und dem BSI übermitteln, dass diese dann allen betroffenen Unternehmen der Branche zur Verfügung stellt. Vorbild könnten hier beispielsweise spezialisierte ISO-Standards (wie beispielsweise die ISO 27019 für die Energiewirtschaft) oder technische Richtlinien des BSI sein.

Die Energiebranche ist da schon sehr weit und auch die Finanzdienstleister, also Banken und Versicherungen, haben schon Ideen für die Umsetzung der Regelung skizziert. Unterstützend wirken hier auch die UP-KRITIS Arbeitskreise beim BSI, die den Austausch zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen unterstützen sollen. Das klingt in der Theorie gut, in der Praxis läuft es aber noch nicht in allen Sektoren rund. So stehen insbesondere kleinere und mittlere Unternehmen öfter alleine da, wenn für ihre Branche niemand einen Standard entwickelt. Dann haben sie zwei Möglichkeiten: Entweder tun sie sich mit einigen Mitbewerbern zusammen, oder sie konsultieren einen externen Berater. Egal, für welche Variante sie sich entscheiden; auf jeden Fall ist Eile geboten.

Mittelständler brauchen mehr praktische Hilfe

Unterstützung wünschen sich die Mittelständler zudem bei noch offenen Fragen. Etwa hinsichtlich der Prüfer, die nach zwei Jahren untersuchen, ob die Unternehmen die gesetzlichen Vorgaben einhalten. Aus Sicht der Unternehmen ist noch recht unklar, nach welchen Kriterien diese Nachweispflicht erfolgt. Weitere Aspekte, wie beispielsweise die genaue Definition einer kritischen Anlage und der mit Ihr verbundenen Komponenten, sind bislang ebenfalls nur undeutlich ausgearbeitet. Hier sind schnell nähere Details und benannte Ansprechpartner bei verantwortlichen Behörden wünschenswert – nicht nur für KMU.

Es schlägt bereits an

Trotzdem hat das Gesetz schon jetzt viel bewirkt. So hat es das Thema IT-Sicherheit dorthin gebracht, wo es hingehört: in die Chefetagen. Jetzt beschäftigen sich auch Aufsichtsräte und Vorstände damit. Allein die Diskussion über die IT-Sicherheit und der veränderte Stellenwert der Thematik haben in einigen Unternehmen bereits viel in Bewegung gebracht.

Übrigens: Der eingangs beschriebene Hackerangriff auf die Desinfektionsautomaten eines Krankenhauses ist zwar nicht passiert. Die Gefahr war aber real und dem Hersteller monatelang bekannt. Ein Update kam aber erst, nachdem die Sicherheitslücke öffentlich diskutiert wurde.

30. Juni 2017
Zusammengefasst

»Das IT-Sicherheitsgesetz hat schon jetzt viel gebracht.«

In einem Jahr endet die Übergangsfrist zum IT-Sicherheitsgesetz. Bis dahin müssen es die ersten Sektoren mit Kritischer Infrastruktur – Energie, IT, Telekommunikation, Wasser und Ernährung – implementieren. Angesichts der Meldepflicht und dem nötigen Aufbau eines angemessenen IT-Sicherheitsmanagements ist das nicht mehr viel Zeit. Trotzdem lässt sich schon jetzt sagen: Das Gesetz ist ein wichtiger Schritt hin zu mehr Cyber-Sicherheit. Auch, wenn noch manche Fragen offen sind ...

Wilhelm Dolle Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

IT-Sicherheitsgesetz: Lästige Pflicht oder echter Fortschritt?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen