Quer durch alle Branchen sind immer mehr Unternehmen vernetzt und digitalisiert. Damit gehen Sicherheitsrisiken einher, denen frühzeitig begegnet werden muss. Das neue IT-Sicherheitsgesetz soll zu einem „Mindestniveau an IT-Sicherheit“ beitragen. Informationssicherheits-Managementsysteme (ISMS) können für betroffene Unternehmen verpflichtend werden.
Die heutigen Lebens- und Arbeitsbereiche unterliegen einer zunehmenden Digitalisierung und Vernetzung. Die rasante Entwicklung in der Informationstechnologie führt zur vierten industriellen Revolution, in der die Systeme des gesamten Unternehmens untereinander sowie nach außen und innen vernetzt werden. Entlang der gesamten Wertschöpfungskette wird die Vernetzung mit Kunden, Servicepartnern oder Lieferanten vorangetrieben. Die Entwicklungen von Cloud Computing und mobilen Systemen ermöglichen zudem eine permanente Erreichbarkeit von Systemen. Diese Entwicklungen in der Informationstechnologie bieten wirtschaftlich große Entwicklungspotenziale, führen aber gleichzeitig auch zu neuen Verwundbarkeiten für IT-Angriffe und damit zu Risiken, denen Unternehmen durch IT-Sicherheitsmechanismen begegnen müssen. Gleichzeitig werden die Angriffe auf Computernetze immer professioneller, komplexer und individueller. Sogenannte Cyberattacken auf Unternehmen und auch auf für das Gemeinwohl wichtige Einrichtungen wie Strom- und Gasnetze oder Telekommunikationsanlagen tragen dazu bei, dass dem Thema in der Öffentlichkeit eine größere Bedeutung zukommt.
IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz soll zu einer signifikanten Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland beitragen. Ein besonderer Fokus liegt dabei auf den sogenannten kritischen Infrastrukturen – also Einrichtungen „die für das Funktionieren des Allgemeinwesen zentral sind“ (vgl. IT-Sicherheitsgesetzentwurf). Dazu gehören Einrichtungen und Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen. Näher bestimmt werden sollen die kritischen Infrastrukturen laut Entwurf durch eine noch zu erlassende Rechtsverordnung. Betreiber solcher kritischer Infrastrukturen sollen dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Welche Vorfälle gemeint sind und in welchem Detailgrad, über welchen Meldeweg, in welcher Qualität und innerhalb welchem Zeitraum gemeldet werden muss, ist dabei nicht näher spezifiziert. Auch steht bis jetzt noch nicht fest, wo und wie die Meldungen von IT-Sicherheitsvorfällen gespeichert, wie sie weiterverarbeitet und an wen sie in welchen Fällen und in welchem Umfang weitergegeben werden.
Am 17. Dezember 2014 wurde der „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom Kabinett verabschiedet. Am 20. März 2015 fand die erste Lesung im Bundestag statt. Vergangenen Montag, 20. April 2015, fand eine öffentliche Anhörung des Innenausschusses statt. Die Experten sehen im IT-Sicherheitsgesetz teilweise einen nötigen ersten Schritt, weisen aber auch auf Änderungs- und Ergänzungsbedarf hin. Die Stellungnahmen finden Sie auf der Webseite des Bundestages.
IT-Sicherheitskatalog
In der Energiebranche wird ebenfalls bereits seit längerem über das Thema IT-Sicherheit diskutiert. So hält das Energiewirtschaftsgesetz Netzbetreiber dazu an, den IT-Sicherheitskatalog der Bundesnetzagentur einzuhalten (§ 11 Abs. 1 a EnWG). Kern des IT-Sicherheitskatalogentwurfs, dessen Konsultationsphase zwar bereits im Februar 2014 zu Ende war, dessen Veröffentlichung aber noch aussteht, ist die Verpflichtung zur Einführung von Informationssicherheits-Managementsystemen (ISMS). Als Nachweis dafür gilt ein Zertifikat nach der ISO 27001. Zudem soll laut Entwurf innerhalb von zwei Monaten nach Veröffentlichung ein IT-Sicherheitsbeauftragter benannt werden.
Auch im Rahmen des IT-Sicherheitsgesetzes werden Unternehmen geprüft, ob sie für die jeweilige Branche und Technologie geeignete und wirksame Maßnahmen und Empfehlungen befolgen. Dazu gehört unter anderem, ein ISMS zu betreiben. Allerdings ist im Gesetzesentwurf nicht näher bestimmt, wie die Sicherheitsaudits, -prüfungen und Zertifizierungen im Detail aussehen sollen. Dennoch zielen beide Gesetzesinitiativen in dieselbe Richtung, wobei der IT-Sicherheitskatalog in Bezug auf die Vorgaben und gesetzlichen Erwartungen konkreter wird. Inwieweit die beiden Gesetzesinitiativen sich gegenseitig beeinflussen oder harmonisiert werden, bleibt abzuwarten.
Die nächsten Schritte
Der Verlauf der Diskussionen rund um das IT-Sicherheitsgesetz lässt vermuten, dass es noch 2015 verbindlich in Kraft tritt. Auch der IT-Sicherheitskatalog ist bereits weit ausgereift. Alle Unternehmen, die von den neuen Gesetzen betroffen sind, sollten sich also bereits jetzt damit auseinandersetzen. Die Notwendigkeit, branchenspezifische Mindestsicherheitsstandards zu entwickeln, liegt auf der Hand. Deshalb sollte der Fokus der meist europäisch oder global operierenden deutschen Unternehmen auf international ausgerichtete Standards liegen und auf nationale Insellösungen verzichtet werden.
Sollten Sie sich für die Einführung und Zertifizierung eines ISMS nach ISO 27001 interessieren, stehen wir Ihnen gerne jederzeit zur Verfügung. Die deutsche Übersetzung der Norm ist seit März 2015 im Beuth-Verlag erhältlich. Selbstverständlich halten wir Sie über die weiteren Entwicklungen auf dem Laufenden.