IT-Sicherheitsgesetz: Wie die praktische Umsetzung aussehen könnte

ITSiG: Die praktische Umsetzung

Ein klassischer Fahrplan zur Umsetzung.

Keyfacts über IT-Sicherheitsgesetz

  • Bereits einige Aspekte der Betroffenheitsanalyse sind für Unternehmen eine Herausforderung
  • Orientierung können die internationalen Standards der ISO/IEC 27000 Normreihe bieten.
  • Prozesse sollten frühzeitig implementiert werden.
Zusammenfassung lesen Whitepaper herunterladen

Der 3. Mai 2018 wird ein besonderer Tag für Energieversorger, die Wasserwirtschaft, Unternehmen des Informations- und Kommunikationssektors und dem Nahrungsmittelbereich. Denn dann müssen betroffene Unternehmen die geltenden Regelungen des IT-Sicherheitsgesetzes (ITSiG) umgesetzt haben. Dabei sind viele Fragen für die spezifische Umsetzung noch gar nicht geklärt.

Für viele Organisationen geht es erst einmal darum, zu bestimmen, ob sie überhaupt vom ITSiG betroffen sind. In der Theorie braucht es hierfür lediglich eine Analyse der Betroffenheit anhand der definierten Schwellwerte und schon kann es losgehen. Praktisch allerdings stellt dies eine Herausforderung dar: Denn die Unternehmen müssen zunächst die relevanten Daten sammeln und dann mit den in der Rechtsverordnung vorgegeben Schwellwerten abgleichen. Hierbei sind dann die abstrakten Bezeichnungen der kritischen Anlagen in die tatsächlich im Unternehmen betriebenen Systeme zu übertragen.

Generell sind durch das IT-Sicherheitsgesetz sechs Bereiche konkret betroffen:

Nach Rechtgrundlage § 44b AtG und § 11 EnWG sind ebenfalls die Betreiber kerntechnischer Anlagen, Kernenergieerzeuger sowie die Betreiber von Kernbrennstofflagern.

Nach den § 8a, 8b BSIG sind das beispielsweise Wasserwerke, Supermärkte, Finanzdienstleister, Logistiker und Raffinierien.

Nach Rechtsgrundlage § 11 EnWG sind das Stromerzeuger, Gaslieferanten, Netzbetreiber sowie Stadwerke.

Nach den § 100, 109, 109a TKG sind das Provider von Festnetz, Mobilfunk, E-Mai-Anbieter und Netzbetreiber.

Nach Rechtsgrundlage § 13 TMG sind das kommerzielle Blogs und Websites, Webshops, Streaming- & Videodienste.

Nach § 8b Abs. 7 BSIG sind Zulieferer betroffener Unternehmen, IT-Dienstleister und Softwarehersteller betroffen.

Die Unternehmen stehen dann vor der Fragestellung, ob beispielsweise die Daten bei einem für mehrere Unternehmen betrieben System aufsummiert werden müssen. Oder: Welche Berechnungsformel überhaupt zugrunde gelegt wird?

Es zeigt sich immer wieder, dass viele betroffene Unternehmen noch einen hohen Informationsbedarf hinsichtlich spezifischer Umsetzungsansätze haben.

Nehmen wir an dieser Stelle an, ein Unternehmen hat sich anhand der Schwellwerte als KRITIS identifiziert: Nun geht es in einem nächsten Schritt darum, ob etwa branchenspezifische Sicherheitsstandards (B3S) oder Normen vorliegen, die es zu berücksichtigen gilt. Die B3S sind dabei allerdings noch nicht für alle Bereiche erarbeitet – das Bundesamt für Sicherheit in der Informationstechnik führt dazu eine Liste auf ihrer Homepage.

14,1 %

aller Unternehmensschäden in den letzten drei Jahren sind eine Folge von Hackerangriffen.



Ich rate Unternehmen, die sich vorerst selbst zu standardkonformen und branchenüblichen Sicherheitsmaßnahmen informieren müssen, sich an den internationalen Standards der Informationssicherheit zu orientieren – allen voran die ISO/IEC 27000 Normreihe, welche ein Rahmenwerk für ein Managementsystem der Informationssicherheit sowie wesentliche Sicherheitsmaßnahmen beschreibt.

Darüber hinaus braucht es abgestimmte Prozesse, um Sicherheitsvorfälle zeitnah aufzuspüren und entsprechend zu analysieren. Das betrifft zum einen die Meldewege innerhalb der Organisation und zu möglichen externen Dienstleistern, aber auch die Übermittlung an die zuständige behördliche Meldestelle, also z.B. das BSI oder aber auch der Bundesnetzagentur (BNetzA).

Praktisch ergibt sich daraus, dass die betroffenen Organisationen entsprechende Prozesse identifizieren und anpassen sollten und festlegen, wie sie mit den genannten Stellen kommunizieren. Eine besondere Herausforderung hierbei ist der Dialog mit IT-Dienstleistern, die internen Abstimmungen mit anderen Abteilungen sowie der eigenen operativen IT.

Auch wenn die Anforderungen zunächst einfach erscheinen, sollte den Unternehmen bewusst sein, dass die Ausrichtung an die Anforderungen des ITSiG nicht trivial ist und es keinen „Universalplan“ gibt, sondern eine Anpassung an das Unternehmen erforderlich ist.

Das Gesetz fordert unternehmensspezifische und angemessene Maßnahmen: Die Größe spielt dabei ebenso eine wichtige Rolle wie der Reifegrad der bisherigen Sicherheitsorganisation. Dazu ist von Interesse, ob man auf bereits bestehende Strukturen zurückgreifen kann.

Für Unternehmen besteht also die Herausforderung darin, sich den neuen Anforderungen anzupassen und alle Beteiligten – von der Geschäftsführung bis zum IT-Administrator –, daran zu beteiligen,  zu einem höheren IT-Sicherheitsniveau beizutragen.

Gut gewappnet bei Angriffen auf kritische Infrastrukturen

Vom IT-Sicherheitsgesetz betroffen? So könnte eine mögliche Umsetzung aussehen.

Jetzt herunterladen
11. Oktober 2017
Zusammengefasst

»Es zeigt sich immer wieder, dass viele betroffene Unternehmen noch einen hohen Informationsbedarf hinsichtlich spezifischer Umsetzungsansätze haben.«

Das IT-Sicherheitsgesetz kommt, Stichtag für die ersten vier Sektoren ist der 3. Mai 2018: Doch vielen betroffenen Organisationen fehlen noch wichtige Informationen oder sie wissen nicht, was sie konkret bei der Umsetzung der Anforderungen beachten müssen.

Wilhelm Dolle Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

Welche Fragen stellen sich Ihnen bei der Umsetzung des ITSiG?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen