IT-Sicherheitsgesetz: Neue Verordnung definiert kritische Infrastrukturen

Aus Linux-Magazin 05/2016

IT-Sicherheitsgesetz: Neue Verordnung definiert kritische Infrastrukturen

Von und

© Oliver Caytap, 123RF

Das IT-Sicherheitsgesetz macht Betreibern kritischer Infrastruktur Vorgaben, welche Vorkehrungen gegen Cyberangriffe sie zu treffen haben, ohne jedoch zu klären, wer davon betroffen ist. Eine neue Verordnung beginnt nun Klarheit für die Verunsicherten zu schaffen.

Ende Juli 2015 trat das neue deutsche IT-Sicherheitsgesetz (T-SG, [1], siehe Kasten “Artikelgesetz”) in Kraft und verpflichtete die so genannten “Betreiber kritischer Infrastrukturen” (kurz: Kritis), angemessene Vorkehrungen für die Sicherheit ihrer IT-Systeme zu treffen und Beeinträchtigungen, Ausfälle und Cyberangriffe beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Der Gesetzgeber räumt den betroffenen Betreibern noch bis Juli 2017 eine Frist ein, die Vorgaben des Gesetzes umzusetzen und die notwendigen organisatorischen und technischen Maßnahmen zu ergreifen.

Artikelgesetz

Das IT-Sicherheitsgesetz ist ein so genanntes “Artikelgesetz”. Das bedeutet, dass es lediglich andere, bereits bestehende Gesetze ändert und ergänzt. Im Rahmen des IT-Sicherheitsgesetzes nimmt der deutsche Gesetzgeber erhebliche Erweiterungen vor: im BSI-Gesetz, wichtige Änderungen im Atomgesetz, im Energiewirtschaftsgesetz, im Telemediengesetz und auch im Telekommunikationsgesetz.

Für Unsicherheit unter den Infrastrukturbetreibern sorgte der Umstand, dass das Gesetz offen ließ, wer denn genau zu den Kritis zählt. Jetzt legte die Verwaltung nach: Ein kürzlich erlassener Entwurf der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (kurz: BSI-KritisV, [2]) definiert, wer für die Einhaltung des Gesetzes aktiv werden muss.

Hintergrund und Aufgabe

Nach Angabe des deutschen Bundesinnenministeriums beruht rund 40 Prozent der globalen Wertschöpfung auf den Informations- und Kommunikationstechnologien. Die Nutzung und damit die Bedeutung von informationstechnischen Systemen steigen im privaten und beruflichen Alltag kontinuierlich an.

Die vielschichtigen und weitreichenden Anwendungsmöglichkeiten der verschiedenen IT- Systeme und des Internets ließen eine hohe Abhängigkeit entstehen, die sich nicht auf den privaten Nutzer beschränkt, so hat die Regierung erkannt. Auch der wirtschaftliche, geschäftliche wie auch der gesellschaftliche Bereich sind davon durchdrungen.

Cyber, Cyber!

Dem steht eine angespannte IT-Sicherheitslage in der Bundesrepublik gegenüber. Cyberangriffe häufen sich und zeigen sich vor allem immer zielgerichteter und professioneller in ihrer Durchführung. So machte beispielsweise der “Bundestag-Hack” Schlagzeilen [3]. Das Bundeskriminalamt schätzt, dass deutsche Unternehmen täglich rund 30  000 Cyberangriffen ausgesetzt sind. Entsprechende Informationen erhalte das BSI täglich [4].

Experten fordern, dass sich die Sicherheit der IT-Systeme in Deutschland an das steigende Niveau dieser Cyberangriffe anpassen und signifikant verbessern muss. Das IT-Sicherheitsgesetz von Mitte 2015 soll hierzu maßgeblich beitragen und das Sicherheitsniveau, insbesondere innerhalb der bestehenden IT-Infrastrukturen, deutlich anheben.

Das gilt für alle Arten von Systemen, unabhängig davon, ob sie auf Open-Source-Software basieren oder auf proprietärer. Entsprechend formuliert auch das IT-Sicherheitsgesetz keine Unterschiede bei der eingesetzten Hard- oder Software: Am Ende sollen die Systeme einfach sicher sein.

Besonderes Augenmerk liegt auf den Infrastrukturen, die für die Aufrechterhaltung der Grundversorgung der Bevölkerung von herausragender Bedeutung sind. Hierzu zählen Einrichtungen und Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen.

Kritische Strukturen

Als “kritisch” sind laut Definition des Gesetzes (Artikel 1, Ziffer 2 IT-SIG) jene Infrastrukturen anzusehen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe befürchten ließe oder die öffentliche Sicherheit gefährden könnte. Die BSI-KritisV geht von 680 Anlagen aus, die eine kritische Infrastruktur darstellen. Da es Unternehmen gibt, die mehr als eine Anlage betreiben, wird die ursprünglich vom Gesetzgerber geschätzte Zahl von 2000 Unternehmen, die als kritische Infrastrukturbetreiber gelten könnten, deutlich unterschritten

Zum einen wollen die Initiatoren des Gesetzes über einen regen Informationsaustausch der einzelnen Akteure (Regierung, Wirtschaft und Wissenschaft) fortlaufend eruieren, wo Nachbesserungsbedarf hinsichtlich der IT-Sicherheit besteht. Hierzu will man die eingehenden Meldungen über Cyberangriffe analysieren, um so die aktuelle Gefährdungslage in Deutschland möglichst realistisch einzuordnen und zukünftigen Gefährdungen wirksamer begegnen zu können. Zum anderen aber möchte der Gesetzgeber Bürgerinnen und Bürger im Internet besser schützen und das BSI und das Bundeskriminalamt (BKA) strukturell und inhaltlich besser einbinden.

Pflichten

Gemäß dem IT-Sicherheitsgesetz kommt den Betreibern der Infrastrukturen aufgrund der in ihrer Verantwortung liegenden Bereiche eine besondere Bedeutung für das Gemeinwohl zu, da ein auf sie gerichteter Cyberangriff weitreichende Folgen für die gesamte Gesellschaft haben kann. Die Kritis werden durch das Gesetz dazu verpflichtet, Sicherheitsmaßnahmen entsprechend dem aktuellen Stand der Technik einzurichten.

Diese Mindeststandards entwickeln die Branchen selbst und das BSI genehmigt sie, danach folgt eine branchenweit einheitliche Festlegung. Das Amt evaluiert die Einhaltung dieser Mindeststandards dann laufend in einem Zyklus von zwei Jahren, indem es entsprechende Nachweise von den Kritis einfordert.

Abbildung 1: Peter Ganten von der OSBA warnt vor "massiven Blöcken", die vom IT-Sicherheitsgesetz ausgenommen seien.

Abbildung 1: Peter Ganten von der OSBA warnt vor “massiven Blöcken”, die vom IT-Sicherheitsgesetz ausgenommen seien.

Außerdem haben die Kritis erhebliche Störfälle an das BSI zu melden. Des Weiteren werden auch die Betreiber von Onlineshops und anderen Webangeboten dazu angehalten, dem Stand der Technik (IT-Sicherheits- und Mindeststandards) entsprechende technische und organisatorische Schutzmechanismen für ihre IT-Systeme einzurichten, mit denen sie Kundendaten bearbeiten.

Telkos und AKWs

Der Gesetzgeber hat erkannt, dass Telekommunikationsunternehmen und -anbieter eine Schlüsselrolle einnehmen, weil sie durch ihre Telekommunikations- und Datenverarbeitungssysteme die Nutzung der Informationstechnologie überhaupt erst möglich machen. Atomkraftwerke sind wegen des hohen Sicherheitsbedürfnisses per se wichtige Infrastrukturen. Beide sind seit Juli 2015 durch das IT-Sicherheitsgesetz verpflichtet, den Schutz ihrer Systeme nach dem Stand der Technik zu gewährleisten und Störfälle zu melden. Alle anderen Kritis haben längere Umsetzungsfristen.

Kunden informieren

Zudem legt das IT-Sicherheitsgesetz den Telekommunikationsunternehmen und -anbietern die Pflicht gegenüber ihren Kunden auf, diese über etwaige Vorfälle, die deren Anschlüsse betreffen, zu informieren. Derartige Vorfälle sind über die Bundesnetzagentur außerdem auch dem BSI zu melden. Schon die Möglichkeit, dass durch den Vorfall ein Zugriff auf die Systeme der Kunden erfolgte oder die Verfügbarkeit beeinträchtigt gewesen sein könnte, reicht aus, um einen Vorfall als relevanten oder erheblichen und damit meldepflichtigen IT-Sicherheitsvorfall zu klassifizieren.

Abbildung 2: Die Angriffe aus den Weiten des Cyberspace nehmen zu.

Abbildung 2: Die Angriffe aus den Weiten des Cyberspace nehmen zu. © Jesse-lee Lang, 123RF

Um das Ziel der Meldepflicht zu erreichen (den Überblick über die Cyber-Sicherheitslage in Deutschland stets auf aktuellem Stand zu garantieren), müssen die Kritis dem BSI eine Kontaktstelle benennen und sicherstellen, dass sie hierüber stets zu erreichen sind.

Störfälle melden

Das Gesetz unterscheidet bei der Meldung zwei Arten von Störfällen:

  • Erhebliche Störungen, die zum Ausfall oder zur Beeneinträchtigung der Funktionsfähigkeit der Kritis führen können.
  • Tatsächliche Beeinträchtigung oder Ausfall der Funktionsfähigkeit.

Liegt ein Vorfall der ersten Art vor, reicht es aus, wenn die Meldung Angaben zur Art der Störung und den diesbezüglichen technischen Rahmenbedingungen enthält. Zudem müssen die Autoren Ausführungen zur vermeintlichen oder tatsächlichen Ursache und zur konkret betroffenen IT-Technik machen.

Außerdem dürfen die Meldungen anonym sein, um einem Image- oder Vertrauensverlust des betreffenden Unternehmens vorzubeugen – was bisher in vielen Fällen die Dunkelziffer für IT-Angriffe stark in die Höhe getrieben hat, so vermuten Experten.

Es klingt zumindest plausibel: Kaum eine Bank wird wollen, dass ihre Kunden erfahren, wer in den letzten Monaten alles versucht hat, in das institutionsweite Netzwerk einzudringen.

Wenn jedoch ein Fall der zweiten Art vorliegt, wenn es also durch einen Angriff tatsächlich zu einem Ausfall oder einer Beeinträchtigung bei dem Kritis kam, dann ist die namentliche Veröffentlichung des Betreibers Pflicht. Von potenziell betroffenen Betreibern ertönt dagegen zum Teil heftige Kritik, weil zwischen einer “tatsächlichen Beeinträchtigung” und einem “Ausfall” nicht differenziert werde. So dürfte ein Systemausfall deutlich weitreichendere Auswirkungen haben als eine Beeinträchtigung. Trotzdem ist in beiden Fällen die namentliche Nennung des Betreibers verpflichtend.

Gefährlicher Spielraum

Einige Kritiker argumentieren, dass die betroffenen Betreiber bei jedem Störfall selbst abwägen müssen, ob die Voraussetzungen für eine Meldepflicht vorliegen und ob sie diese anonym abgeben können oder ob sie die Meldung unter Angabe ihres Firmennamens machen müssen. Diesen Spielraum bewerten sie deshalb zweischneidig: Wer hier (absichtlich oder nicht) falsch abwägt, kann dadurch unter Umständen einen Imageverlust vermeiden – er verstößt mit hoher Wahrscheinlichkeit aber gegen die geltende Meldepflicht.

Außerdem ist noch nicht geklärt, welche Daten am Ende veröffentlicht werden dürfen oder gar müssen. Das BSI untersteht in diesem Fall dem deutschen Bundesinnenministerium, inklusive einer daraus resultierenden umfassender Berichtspflicht gegenüber dem Ministerium.

In der Praxis ist ein ausgewogener und sensibler Umgang mit nicht anonymen Meldungen von Nöten, denn die Nennung von Unternehmensnamen im Zusammenhang mit IT-Störfällen kann, gerade bei den großen Infrastrukturbetreibern, erhebliche Imageschäden nach sich ziehen.

Praxiseinsatz

Eine Meldepflicht gilt zunächst nur für Telekommunikationsunternehmen und die Betreiber von Kernkraftwerken. Für alle anderen Kritis gilt die Meldepflicht erst nach Inkrafttreten der entsprechenden Verordnung, da in dieser erst konkretisiert wird, welche Unternehmen im Sinne des IT-Sicherheitsgesetz zu den kritischen Infrastrukturbetreibern zu zählen sind. Geplant ist das Inkrafttreten der Verordnung noch in diesem Jahr.

Sie wird aufgeteilt in zwei Teile: Im ersten Quartal 2016 legt das Bundesinnenministerium die Verordnung für die Sektoren Energie, Ernährung, Wasser und ITK (IT und Telekommunikation) als Entwurf vor (BSI-KritisV). Sie soll im ersten Halbjahr 2016 verabschiedet werden. Ende 2016 soll die Verordnung für das Finanz- und Versicherungswesen, für Transport und Verkehr sowie Gesundheit folgen.

Schwellenwerte

Aus dem derzeitigen Entwurf der BSI-KritisV ergibt sich der “bedeutende Versorgungsgrad”, der die Einbeziehung eines Betreibers in den Anwendungsbereich der Verordnung voraussetzt, anhand branchenspezifischer Schwellenwerte [4], die sich aus den technischen Gegebenheiten der Anlagentypen [5] sowie der Anzahl der mit der Dienstleistung versorgten Personen ergeben.

Der Schwellenwert im Sektor “Wasser” etwa, ist nach der Verordnung beispielsweise erreicht, wenn mindestens 500  000 Personen durch die betreffende Infrastruktur versorgt sind [6]. Im Sektor “Ernährung” beträgt der Schwellenwert bei Anlagen zur Produktion von Agrarerzeugnissen bei Speisen 224  000 Tonnen und bei Getränken 274,5 Millionen Liter pro Jahr.

Die spezifischen Schwellenwerte der einzelnen Branchen sind in den jeweiligen Anlagen zur KritisV einzusehen. Sie enthalten unter anderem auch eine große Vielzahl von berechenbaren Schwellenwerten für die Betreiber von ITK-Infrastrukturen. Für Telekommunikationsbetreiber verweist die geplante Verordnung teilweise auf das Telekommunikationsgesetz (TKG, [7]).

Die Pflicht zur Einhaltung der IT-Sicherheits- und Mindeststandards entsteht zwei Jahre nach Inkrafttreten der Verordnung, also 2018. Trotzdem sind Unternehmen, die voraussichtlich zu den Kritis zu zählen sind, dazu angehalten, sich bereits jetzt mit dem IT-Sicherheitsgesetz und dessen Anforderungen und Verpflichtungen zu befassen. Ebenfalls bereits jetzt sollte die Chance genutzt werden, bei der Formulierung der Branchen-Mindeststandards mitzuwirken.

Unklare Rechtsbegriffe

Das Gesetz ist ein Versuch, eine Verbesserung der IT-Sicherheit in Deutschland zu erreichen. Es setzt einen Schritt in die richtige Richtung, auch wenn noch viele Punkte offen und erst im Laufe der Zeit zu klären sind.

Problematisch ist etwa, dass weder das IT-Sicherheitsgesetz noch die Verordnung Anforderungskataloge aufweisen. Daher sieht sich das Gesetz der Kritik ausgesetzt, es enthalte unbestimmte Begriffe. So stellt sich bei der Meldepflicht die Frage, wann ein “erheblicher Sicherheitsvorfall” gegeben ist.

Beim verlangten “Stand der Technik” ist unklar, wann dieser denn überhaupt erreicht ist. Es ist abzuwarten, was die einzelnen Behörden an Mindeststandards formulieren und was davon die Bestätigung durch das BSI findet. Möglicherweise – aus Sicht der Betroffenen hoffentlich – schafft dieser Prozess Klarheit.

IT-Sicherheitskatalog

Zur ersten Orientierung für Energieversorgungsunternehmen dient der IT-Sicherheitskatalog der Bundesnetzagentur vom August 2015. Demnach ist es beispielsweise nicht ausreichend, nur Einzelmaßnahmen wie das Installieren einer Antivirensoftware oder die Einrichtung einer Firewall zu treffen.

Ein ganzheitlicher Ansatz wäre nötig, dieser ist aber erst noch zu erarbeiten. Von einem umfassenden Ansatz kann nur dann die Rede sein, wenn beispielsweise ein Informationssicherheit-Managementsystem (ISMS) errichtet und betrieben wird. Eine darauf bezogene Orientierungshilfe bietet die internationale Norm ISO 27001, die die Spezifizierung von Anforderungen und Beschreibungen zur Implementierung oder Anpassung des ISMS zum Inhalt hat [8].

Branchenkritik

Inzwischen hatten die Branchenverbände die Möglichkeit, sich zum Entwurf der KritisV zu äußern und sie taten dies auch kritisch. Der Bitkom [9] bemängelt in seinen Ausführungen beispielsweise die unscharfen Formulierungen bei der Definition von Begrifflichkeiten. Schlimmer noch, Definitionen in der Verordnung seien teilweise nicht von der Ermächtigungsgrundlage, dem § 10 Abs. 1 Satz 1 BSIG, gedeckt.

Zudem sind die zugrunde gelegten Schwellenwerte nach der Ansicht der Kritiker falsch berechnet. Beim Sektor Energie verweisen die kritischen Stimmen darauf, dass die privaten Haushalte lediglich 25 Prozent des erzeugten Stroms verbrauchen. Auf Basis dieser Berechnungsgrundlage ergäbe sich ein neuer Schwellenwerte in Höhe von 105 Megawatt pro Jahr. Der Wert in der KritisV übersteigt diesen aber um rund 400 Prozent.

Darüber hinaus wird an den Definitionen im Sektor Informationstechnik und Kommunikation bemängelt, dass diese zu konkret wären und die Verordnung aufgrund der andauernden Technologie-Entwicklung schnell veralten könnte. Wesentlichster Kritikpunkt dürfte jedoch sein, dass keine Einbeziehung von Hard- und Softwareherstellern in dem Gesetz gegeben ist. Die Betreiber sind bei Angriffen aber auf Know-how und Unterstützung der Hard- und Softwarehersteller angewiesen.

Peter Ganten, der Vorstandsvorsitzender der Open Source Business Alliance (Abbildung 1, [10]), fordert deshalb: “Der Betreiber einer kritischen Infrastruktur muss in der Lage sein, die Prozesse zu verstehen und nachvollziehen zu können. Kann er das nicht, dann muss auch für seine Lieferanten gelten, was für die Kritis gilt. Anderenfalls entstehen innerhalb der kritischen Infrastrukturen massive Blöcke, für die die Vorschriften nicht gelten.”

Infos

  1. IT-Sicherheitsgesetz http://www.secupedia.info/wiki/IT-Sicherheitsgesetz
  2. Bestimmung kritischer Infrastrukturen: https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2016/02/referentenentwurf-kritis-vo.html
  3. Markus Feilner, Jan Kleinert, “Eindringen ins hohe Haus”: Linux-Magazin 04/16, S. 74, https://www.linux-magazin.de/Ausgaben/2016/04/Bundestags-IT
  4. Definition von Schwellenwerten: BSI-KritisV(E), S. 27, https://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/kritis-vo.pdf
  5. Anlagentypen: Zur Definition des Anlagenbegriffs: § 1 Nr. 1 BSI-BSI-KritisV(E), S. 6
  6. 500  000 Menschen: BSI-KritisV(E), S. 28, BSI-KritisV(E), S. 6
  7. Verweis auf das TKG: BSI-KritisV(E), S. 18
  8. ISO 27001: https://de.wikipedia.org/wiki/ISO/IEC_27001
  9. Bitkom: https://www.bitkom.org
  10. Open Source Business Alliance:http://osb-alliance.de

Der Autor

Sabine Sobola ist Partnerin der Regensburger Anwaltskanzlei Paluka Sobola Loibl und Partner und betreut dort die Bereiche IT- und Internetrecht, Vertragsrecht und den gewerblichen Rechtsschutz. Neben ihren Lehraufträgen für IT-Recht an verschiedenen Hochschulen leitet sie eine Vielzahl von Workshops zum Thema Recht im Internet.

Markus Feilner ist ein Linux-Spezialist aus Regensburg, der seit 1994 mit dem freien Betriebssystem als Autor, Trainer, Security Consultant und Journalist arbeitet. Der Conch-Diplomat, Minister der Universal Life Church, Jedi-Ritter und ehemalige stellv. Chefredakteur des Linux-Magazins leitet heute das Dokumentationsteam bei Suse in Nürnberg.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 4 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben