IT-Sicherheitsgesetz Soll KRITIS Schützen

Wie funktioniert das IT-Sicherheitsgesetz?

Stromausfall in ganz Europa, ein totaler Blackout für mehrere Tage. Ein Informatiker vermutet einen Hackerangriff und versucht die Behörden zu informieren. Währenddessen kämpfen die Bewohner Europas in der eisigen Februar-Kälte ums Überleben. Ein erschreckendes Szenario, welches der Autor Marc Elsberg in seinem Buch „Blackout“ beschreibt. Das Buch wirft die Frage auf, was passiert, wenn in unserer vernetzten Welt, kritische Infrastrukturen Opfer eines solchen Angriffs werden.

Die Bundesregierung hat sich ebenfalls mit diesem Thema beschäftigt, wenn auch spät, wie viele Kritiker anmerken. Mit dem sogenannten IT-Sicherheitsgesetz (eigentlich: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), das am 25.07.2015 in Kraft getreten ist, sollen die Betreiber kritischer Infrastrukturen (KRITIS), dazu gezwungen werden, den Schutz der Systeme zu erhöhen. Natürlich vor allem um ein solches Szenario, wie in „Blackout“ erst gar nicht entstehen zu lassen.

Was bedeutet das IT-Sicherheitsgesetz?

In der Praxis bedeutet das Gesetz, dass die KRITIS-Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilen müssen, wenn sie Opfer einer Cyberattacke wurden, die zu einer Beeinträchtigung des Betriebs oder zum Ausfall der KRITIS führen. Wenn durch einen solchen Angriff keine Schäden entstehen, so muss der Betreiber dies nicht melden. Interessenverbände der Industrie befürchteten einen Imageverlust der Betreiber, wenn auch kleinere Angriffe gemeldet werden müssten. Das BSI ist verpflichtet die Angriffe zu überprüfen, nach Mustern zu suchen und auch Unternehmen vor drohenden Angriffen zu warnen.

Neben diesen Meldungen sollen die Betreiber auch Mindeststandards einhalten, sowie innerhalb der jeweiligen Branchen eigene Sicherheitsstandards entwickeln. Das BSI soll diese Standards in den Unternehmen alle zwei Jahre überprüfen. Da das BSI eine kleine Behörde ist, werden genau diese Überprüfungen bei einer Annahme von ca. 700 zu überprüfenden Anlagen in Deutschland nur schwerlich möglich sein. Kontrolliert werden soll durch das BSI zusätzlich, ob die Sicherheitsmechanismen auf dem „Stand der Technik“ sind. Was dies bedeutet, wird nicht genau definiert.

Welche Infrastrukturen fallen unter dieses Gesetz?

Wer fällt unter dieses Gesetz? Laut §2 Abs. 10 (BSI-Gesetz) wird dies folgendermaßen definiert: „Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“

Eine kombinierte Informationsseite der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) zählt zu den KRITIS zusätzlich „Staat und Verwaltung“ sowie „Medien und Kultur“. Beide Bereiche werden im Gesetzestext allerdings nicht ausdrücklich erwähnt.

Die Formulierungen sind insgesamt sehr schwammig gehalten. Dies ist ein Punkt, der von vielen Kritikern des Gesetzes immer wieder aufgegriffen wird. Welche Einrichtungen betroffen sind, soll per Rechtsverordnung geklärt werden. Als ein Kriterium für die hohe Bedeutung im Funktionieren des Gemeinwesens wurde die 500.000er Regelung herangezogen. Dies bedeutet, dass mindestens 500.000 Bürger von der Versorgungsleistung abhängig sein müssen. Dies wird unter anderem auf den Verbrauch von bestimmten Gütern umgerechnet, so verbrauchen so viele Menschen pro Jahr 450 MW Strom, 334.000t Lebensmittel und 274 Millionen Liter Getränke (Quelle: heise online).

In der Informationstechnik/Telekommunikation ist diese Regelung nur teilweise anwendbar. Hier werden Rechenzentren mit 5 MW, Serverfarmen ab durchschnittlich 25.000 laufenden Instanzen oder 250.000 verwalteten Domains zu KRITIS gezählt. In Deutschland betrifft dies dann 30 Server-Farmen, Rechenzentren und Trustcenter (Quelle: heise online). Daneben gibt es noch die Anbieter von Telekommunikation, deren Auswahl durch das Telekommunikationsgesetz geregelt ist.

Noch steht nicht für alle Sektoren fest, wie die Unternehmen ausgewählt werden. Dazu müssen zum Teil auch noch die Zulieferer gezählt werden, für die es bisher keine klaren Regelungen gibt. Zudem monieren einige KRITIS-Betreiber, dass auch die Software-Entwickler der KRITIS-Systeme mit in die Pflicht genommen werden müssten, denn die Betreiber könnten diese Sicherheitslücken nicht alleine schließen. Es bleibt abzuwarten, wie das Gesetz weiter umgesetzt wird und ob sich der angedachte Kontrollumfang verwirklichen lässt. Wir werden Sie auf jeden Fall in der Zukunft weiter über dieses Thema informieren.

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.