Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-).

Zu Gast war das Bundesamt für Sicherheit in der Informationstechnik BSI (nicht zu verwechseln mit dem Sponsor der Veranstaltung BSI Group: British Standards) vertreten durch Herrn Martin Apel , Herr Boban Krisc von der DENIC eG als betroffenes Unternehmen sowie Frau Jana Ehlers von SRC GmbH, die von der Entwicklung des Branchenstandards der privaten Banken berichten konnte.

Herr Apel vom BSI stellte den Fahrplan der Umsetzung der Rechtsverordnungen sowie die geklärten und offenen Punkte bei der Ausgestaltung der Rechtsverordnungen vor. Geduldig stellte er sich den zahlreichen Fragen des Publikums.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz. Es ist kein eigenständiges Gesetz sondern ändert andere Gesetze. Hierzu zählt in erster Linie das BSIG. Mit der Umsetzung des IT-Sicherheitsgesetzes ist auch ein Personalaufbau beim BSI verbunden, wobei dieser geringer ausgefallen sei als geplant bzw. beantragt.

Die Erstellung der Rechtsverordnungen zur konkreten inhaltlichen Ausgestaltung des IT-Sicherheitsgesetzes ist in zwei Lose aufgeteilt:

• Los 1: Energie, IT+TK, Ernährung und Wasser
• Los 2: Finanzen Transport + Verkehr, Gesundheit.

Die Rechtsverordnung für Los 1 sollen im 1. Quartal 2016 abgeschlossen sein. Los 2 folgt Ende 2016.

Die beiden spannenden Fragen sind natürlich, welche Unternehmen betroffen sein werden und welche Anforderungen auf diese Unternehmen zukommen.

Grundlage für die Bestimmung der kritischen Dienstleistungen sind die Sektorstudien, die je Branche von Unternehmensberatungen erstellt wurden bzw. noch werden. Auf dieser Grundlage werden kritische Dienstleistungen, Einrichtungen und Anlagen identifiziert. Es werden also nicht ganze Unternehmen den Anforderungen des IT-Sicherheitsgesetzes unterliegen, sondern lediglich die jeweils kritischen Dienstleistungen und Anlagen. Ausgenommen sein können unkritische Bereiche wie Finanzen oder Vertrieb. Hierbei wird auch mit berücksichtigt, welche Relevanz die Dienstleistung für die Versorgung hat. Dies kann zum Beispiel die Anzahl der versorgten Haushalte sein. Unternehmen, die ein Größen- oder Relevanzschwelle unterschreiten, unterliegen nicht den Anforderungen des Gesetzes. Dies muss jedes Unternehmen für sich selbst prüfen.

Spannend bleibt das Thema Outsourcing. Inwieweit das BSI davon ausgeht, dass das auslagernde Unternehmen seine Dienstleister in die Pflicht nimmt oder das BSI selbst die Einhaltung der Vorgaben überprüft, bleibt noch offen. Eine spannende Frage natürlich auch für die zahlreichen Serviceprovider der betroffenen Unternehmen.

Die zweite spannende Fragestellung richtet sich nach den Anforderungen und damit dem “Stand der Technik”.

Zunächst einmal geht das BSI von einem “all-hazard”-Ansatz aus. Es sind alle Risiken zu berücksichtigen hinsichtlich der drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit. Business Continuity Management ist damit ein zwingender Bestandteil zur Einhaltung des IT-Sicherheitsgesetzes! Wir werden also auch im BCM noch viel zu tun bekommen.

Branchen können für die Branchenstandards auf bestehende Standards und Normen zurückgreifen oder eigene Branchen-Sicherheitsstandards erstellen. Diese Standards müssen hierbei nicht zwingend (ISO-) Normen sein.

Die Einhaltung der Standards wird durch Audits überprüft. Das BSI wird hierzu Beratungs- und Prüfungsunternehmen einsetzen.

Das BSI stellt allerdings klar heraus, dass die Norm ISO 27001 für die Einhaltung der gesetzlichen Anforderungen nicht ausreichend ist. Eine Akzeptanz der identifizierten Risiken ist nicht das erklärte Ziel, sondern ganz klar die Verringerung.

Die Meldung von Störungen und Ausfällen ist bereits am weitesten konkretisiert und steht mit einer Frist von sechs Monaten nach der Rechtsverordnung auch zeitnah an. Für die Umsetzung der Mindeststandards gibt es eine Frist von zwei Jahren.

Herr Krsic von der DENIC zeigte die konkrete Umsetzung des IT-Sicherheitsgesetzes  für sein Unternehmen auf. Die Branche und das DENIC stützen sich bei der Umsetzung des IT-Sicherheitsgesetzes in erster Linie auf Normen. Dies sind die 27x -Normen für Informationssicherheit (ISO 27001, -2, -5, -15) sowie 22301 ergänzt um BSI 100-4 (BIA) für das Business Continuity Management. Ergänzt werden die Normen um Cobit 5 für die Controls.

Frau Ehlers von der SRC GmbH stellte die Umsetzung des IT-Sicherheitsgesetzes bei den privaten Banken vor. Der Verband der privaten Banken wird einen eigenen Branchenstandard entwickeln. Das BSI hat hierzu Vorgaben entwickelt, was diese Branchenstandards zu beinhalten haben. Im Finanzdienstleistungsbereich sind  aufgrund der weit verteilten Kettenglieder der Wertschöpfungsketten noch viele Fragen zu klären. Am Beispiel der Kartenabwicklung im Zahlungsverkehr war dies eindrucksvoll nachzuvollziehen. Und dann gibt es dann ja auch noch die öffentlichen Banken und Sparkassen in der Branche ….

So, das war eine Zusammenfassung auf Basis meiner Notizen und dem nachlassenden Gedächtnis – also ohne Gewähr. Für Ergänzungen und Korrekturen bin ich sehr dankbar. Vielen Dank an die Mitglieder der Gesellschaft für Informatik, die diese tolle Veranstaltung auf die Beine gestellt haben!

Und mein Fazit:

Ich war gerade zwei Tage in London auf der BCI World Conference. In Großbritannien wird gerade gemeinsam mit den USA eine große Übung durchgeführt. Das Übungs-Szenario ist eine Cyber-Attacke auf den Finanzdienstleistungsbereich. Tests und Übungen kommen im IT-Sicherheitsgesetz überhaupt nicht vor. Dabei wären gerade brancheninterne und branchenübergreifende Übungen das einzige Mittel, um festzustellen, wie widerstandsfähig die kritischen Infrastrukturen sind. Schade eigentlich, dass diese Chance jetzt verpasst wird.