leowolfert - Fotolia

IT-SiG: Herausforderung Informationssicherheits-Management-System

Das IT-Sicherheitsgesetz fordert von den Betreibern kritischer Infrastrukturen verbindliche Maßnahmen, um die Informationssicherheit zu gewährleisten.

Um die Informationssicherheit zu gewährleisten, müssen die Unternehmen Standards implementieren, die oftmals mit einer umfassenden Reorganisation ihrer IT-Prozesse einhergehen. Seit Juli 2015 gilt in Deutschland das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz. Der Geltungsbereich erstreckt sich auf die Branchen Energie, Informationstechnik und Kommunikation, Gesundheit, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen und Ernährung – also die Betreiber kritischer Infrastrukturen (KRITIS).

Mit dem Gesetz sind drei Ziele verbunden:

  • Kritische Infrastrukturen vor Angriffen auf IT-Systeme schützen,
  • Die Versorgungssicherheit und Wirtschaftlichkeit Deutschlands gewährleisten,
  • Frühzeitig bei potentiellen Gefahren das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren.

Für Betreiber kritischer Infrastrukturen aus den Sektoren Informationstechnik und Telekommunikation, Energie, Wasser und Ernährung, die unter den sogenannten „ersten Korb der BSI-KRITIS-Verordnung“ fallen, endete am 3. November 2016 die Frist zur Registrierung einer Kontaktstelle beim BSI. In diesem Zuge waren Unternehmen dazu aufgefordert, Kontaktdaten anzugeben, unter denen sie für die Behörde im Sicherheitsfall jederzeit erreichbar sind.

Die gesetzlichen Vorgaben umfassen die Umsetzung branchenspezifischer Standards für IT-Sicherheit. Das beinhaltet die Einführung eines Informationssicherheits-Management-Systems (ISMS) sowie Maßnahmen zum Business-Continuity-Management. Hinzu kommt der regelmäßige Nachweis der IT-Sicherheit – nach jeweils zwei Jahren – und die Meldepflicht von Stör- und Sicherheitsvorfällen in der IT. Bei Nichterfüllung der Sicherheitsanforderung sind Strafen bis zu 100.000 Euro und bei Nichtmeldung von Vorfällen bis zu 50.000 Euro vorgesehen.

Schwellenwerte für Betreiber kritischer Infrastrukturen

Lange Zeit herrschte Unsicherheit, welche Unternehmen tatsächlich unter das Gesetz fallen. Sind es alle oder nur solche ab einer bestimmten Größe? Eine erste Klarheit brachte die im Mai 2016 vom Bundesinnenministerium veröffentlichte Verordnung (PDF) zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (Kritis-VO). Die Verordnung gilt für die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung. Die Betreiber kritischer Infrastrukturen können damit prüfen, ob sie sich an die gesetzlichen Vorgaben des IT-Sicherheitsgesetzes halten müssen. Bis Anfang 2017 soll eine Verordnung für die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen folgen.

„Vor allem mittelständische Unternehmen verfügen nur selten über die benötigten Ressourcen und das Know-how, um ein ISMS vollständig in Eigenregie etablieren zu können.“

Dr. Katja Siegemund, QSC AG

 

Für den Sektor Energie beispielsweise nennt die Verordnung einen Schwellenwert von 420 MW bei der Stromerzeugung beziehungsweise -speicherung, bei der Stromübertragung von 3700 GWh/Jahr, bei der Gasversorgung von 5190 GWh/Jahr, bei einer Raffinerie von 620.000 Tonnen Heizöl pro Jahr, bei einem Heizkraftwerk 2300 GWh/Jahr und im Fernwärmenetz von 250.000 angeschlossenen Haushalten. Zum Bereich Wasser gehören Unternehmen, die bei der Abwasserbeseitigung 5000 Bürger bedienen.

Anforderungen an den Energiesektor

In der Energiewirtschaft ergibt sich eine Besonderheit. Hier wurde bereits 2011 in einer Novelle zum Energiewirtschaftsgesetz die Erstellung eines IT-Sicherheitskatalogs beschlossen, den die Bundesnetzagentur und das BSI erarbeiteten und schließlich 2015 als branchenspezifischen Standard für die Energiebranche veröffentlichten. Dieser ist verpflichtend für alle Strom-und Gasnetzbetreiber sowie für Unternehmen der Energiebranche, welche die Schwellenwerte aus der Kritis-VO erreichen. Die wichtigsten Forderungen des IT-Sicherheitskatalogs:

  • Einführung eines ISMS für IKT-Systeme
  • Zertifizierung des ISMS gemäß dem internationalen Standard DIN ISO/IEC 27001
  • Erstellung eines Netzstrukturplans für eingesetzte Systeme und Komponenten
  • Benennung eines IT-Sicherheitsbeauftragten als Ansprechpartner für die Bundesnetzagentur

Viel Zeit bleibt den betroffenen Unternehmen jetzt nicht mehr. Bis zum 31. Januar 2018 müssen Netzbetreiber ein ISMS inklusive Zertifizierung einführen und dies der Bundesnetzagentur nachweisen. Unternehmen, die aufgrund der Kritis-VO den IT-Sicherheitskatalog umsetzen müssen, haben aufgrund der „Nachnominierung“ eine Frist bis zum 2. Mai 2018. Außerdem müssen sie eine Kontaktstelle für das BSI benennen.

Regelungen für die Wasserwirtschaft

Die Unternehmen der Wasser- und Abwasserbranche sind als nächstes an der Reihe. Nachdem mit der Kritis-VO auch für diesen Sektor die Schwellenwerte definiert wurden, liegt der vom DVGW (Deutscher Verein des Gas- und Wasserfaches) und DWA (Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e. V.) erarbeitete Entwurf eines branchenspezifischen Standards gerade beim BSI zur Genehmigung vor. Eine Veröffentlichung wird im ersten Quartal 2017 erwartet. Da es Unternehmen gibt, welche sowohl in den Sektor „Energie“ als auch „Wasser“ fallen können, wurde hierbei auf eine Kompatibilität zur ISO 27001 geachtet. Der Branchenstandard beinhaltet – neben zwei Merkblättern – als Kernstück einen „EDV-gestützten IT-Sicherheitsleitfaden" (PDF) mit folgendem Vorgehen:

  • Auswahl von zutreffenden Anwendungsfällen aus mitgelieferter Liste
  • Auswahl von Gefährdungen aus dem (mitgeliefertem) Gefährdungskatalog, die auf Anwendungsfälle zutreffen
  • Bewertung der mit den Gefährdungen einhergehenden Risiken
  • Automatische Erstellung (Generierung) eines Maßnahmenkatalogs

Hinzu kommt auch hier ein Nachweisverfahren, welches jedoch zurzeit noch nicht vollständig ausgearbeitet wurde.

Aufwand bei ISMS-Implementierung minimieren

Eine Reihe von Unternehmen hat bereits mit der Umsetzung eines ISMS gemäß DIN ISO/IEC 27001 begonnen. Zahlreiche Energieerzeuger- und -versorger haben jedoch auch festgestellt, dass gerade der initiale Aufbau des Informationssicherheits-Managements eine aufwendige Angelegenheit ist.

Vor allem mittelständische Unternehmen verfügen nur selten über die benötigten Ressourcen und das Know-how, um ein ISMS vollständig in Eigenregie etablieren zu können. Daher empfiehlt sich in diesen Fällen zumindest für den Aufbau eines ISMS die Hilfe eines erfahrenen externen Dienstleisters in Anspruch zu nehmen. Dieser kann ein ISMS nahtlos in die bestehenden Unternehmensprozesse integrieren und Redundanzen verhindern. So wird gleichzeitig die Akzeptanz für damit verbundene neue Regelungen oder Prozessänderungen erhöht und der zusätzliche Aufwand für das Informationssicherheits-Management auf das Notwendige beschränkt.

Über den Autor:
Dr. Katja Siegemund ist Information Security Officer bei der QSC AG. Zuvor war sie als IT-Consultant mit Schwerpunkt Informationssicherheit tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

IT-Sicherheitsgesetz: Konsequenzen für Betreiber von Websites und Online-Shops.

Gefahr für Sicherheit und Compliance: Schwachstellen in Industrieanlagen.

Was Stand der Technik in der DSGVO bedeutet.

BSI veröffentlicht Leitfaden zur Absicherung von Internet-Diensten.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close