Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, auch bekannt als IT-Sicherheitsgesetz, gibt es bereits seit Juli 2015. Damit erfüllt der deutsche Regulator zudem die Anforderungen der Europäischen NIS-Richtlinie. Der Zweck des Gesetzes besteht darin, die IT-Systeme und digitalen Infrastrukturen der Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland sicherer zu gestalten, um nachhaltige Verfügbarkeit und Sicherheit zu gewährleisten. Ein hehres, mit Blick auf die rasant zunehmende Digitalisierung alltäglicher Prozesse jedoch auch dringend notwendiges Vorhaben.

Seitdem wurden nicht nur in Bundesverwaltungen, sondern vor allem in Infrastrukturbetrieben wie Strom- und Wasserversorgern, Finanzinstituten und Krankenhäusern IT-Sicherheitsmanagementsysteme implementiert, um die Umsetzung des Gesetzes spätestens ab dem Stichtag 30.6.2019 nachweisen zu können.

Nun soll der Kreis der Adressaten des deutschen IT-Sicherheitsgesetzes ausgedehnt und Verpflichtungen ergänzt werden. Das deutsche Bundesministerium des Innern, für Bau und Heimat (BMI) hat dazu im Mai 2020 einen neuen Entwurf veröffentlicht, der den Entwurf vom März 2019 noch einmal korrigiert. Dennoch bleibt der Entwurf des IT-Sicherheitsgesetzes 2.0. in Expertenkreisen heftig umstritten.

Was genau Unternehmen mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) erwartet und welche Änderungen Experten so kritisch bewerten, habe ich mit Erik Rusek, Senior Manager und Experte zum Thema IT-Sicherheitsmanagement bei PWC Österreich besprochen.

Herr Rusek, das IT-Sicherheitsgesetz soll schon nach gerade einmal 5 Jahren wieder angepasst werden. War das „IT-SiG 1.0“ schlecht oder warum soll es ein IT-SiG 2.0 geben?

Das IT-SiG 1.0 war der erste Schritt in die richtige Richtung. Seither wurde Nachbesserungsbedarf identifiziert und dieser im Zuge des IT-SiG 2.0 eingearbeitet. Dazu zählt unter anderem die Erweiterung der betroffenen Unternehmen und Sektoren, die Voraussetzung einer Vertrauenswürdigkeitserklärung für den Einsatz von IT-Systemen, welche für die kritische Infrastruktur relevant sind, sowie die Erweiterung der Kompetenzen der Behörden.

Ziel und eine wesentliche Neuerung ist der sogenannte ganzheitliche Ansatz, welcher den Fokus nicht auf einzelne Komponenten, sondern auf die Gesamtheit der vernetzten Komponenten einer Organisation legt.

Umstritten ist die geplante Anzeigepflicht für den Einsatz kritischer Komponenten, wonach Betreiber kritischer Infrastrukturen diese Komponenten beim Bundesministerium des Inneren, für Bau und Heimat anzeigen müssen.

Zudem hat man zur Verdeutlichung der Wichtigkeit auch den Strafrahmen deutlich erhöht.

Ein ganzheitlicher Ansatz im Bereich IT-Sicherheit macht Sinn, sowohl für Unternehmen, Behörden als auch Bürger. Mit welchen Neuerungen ist nach dem aktuellen Entwurf vom Mai 2020 im IT-SiG 2.0 zu rechnen?

Es gibt eine Reihe von Neuerungen: So erfolgt durch den angesprochenen ganzheitlichen Ansatz eine umfassendere Betrachtung und eine Ausdehnung auf vernetzte Systeme, welche Schwachstellen aufweisen können, die sich auf den Betrieb der kritischen Infrastruktur auswirken können.

Ebenfalls eine Neuerung ist die Notwendigkeit einer Vertrauenswürdigkeitserklärung für Hersteller von Komponenten, welche für den Betrieb der kritischen Infrastruktur eingesetzt werden. Diese Komponenten müssen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegebene Mindeststandards erfüllen. Ist ein Hersteller einer kritischen Komponente nicht vertrauenswürdig, kann das Bundesministerium den Einsatz von Komponenten dieses Herstellers unter bestimmten Umständen, beispielsweise zur Gewährleistung nationaler Sicherheitsinteressen, untersagen.

Ferner fordert der aktuelle Gesetzesentwurf konkret die Einführung von Systemen und Prozessen zur Erkennung und Behandlung von Angriffen bzw. Angriffsversuchen, beispielweise einer Security Incident & Event Management (SIEM) Lösung. Bis dato waren solche Detektionssysteme nur implizit gefordert.

Auch die Kompetenzen des BSI werden ausgeweitet. So wird beispielsweise Verbraucherschutz im Bereich Informationssicherheit als zusätzliche Aufgabe des BSI definiert. Ebenso wird das BSI das IT-Sicherheitskennzeichen einführen, um die IT-Sicherheit von Produkten sichtbar zu machen und darüber hinaus stärker mit Sicherheitsbehörden zusammenarbeiten.

Das klingt sehr danach, als wenn sich wesentlich mehr Unternehmen Gedanken zum Thema Informationssicherheitsmanagement machen müssen. Welche Branchen wird das zukünftige IT-SiG 2.0 besonders treffen?

Die Sektoren bleiben weitgehend gleich, die Abfallwirtschaft wird als neuer kritischer Sektor definiert. Konkret betrifft das Gesetz laut aktuellem Entwurf Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz und Versicherungswesen, Transport und Verkehr sowie den neuen Sektor Entsorgung.

Neu ist zudem die Definition von Infrastrukturen im besonderen öffentlichen Interesse, beispielsweise Rüstungskonzerne.

Konkret kann erst mit der Finalisierung des IT-SiG genau gesagt werden, welche Sektoren und Organisationen inkludiert sind. Bis dahin können im Zuge der Entwurfsüberarbeitung noch Änderungen vorgenommen werden.

Und welches Risiko besteht, wenn ein Unternehmen die Einhaltung des IT-SiG 2.0 nicht nachweisen kann?

Hinsichtlich der Bußgelder bei Verstößen orientiert man sich an der DSGVO und hat Höchststrafen von 20 Millionen Euro oder vier Prozent des weltweit im vorherigen Geschäftsjahr erzielten Jahresumsatzes – je nachdem welcher Betrag höher ist - definiert.

Die Höhe einzelner Geldbußen wird dann natürlich im Einzelfall und in Abhängigkeit des Schweregrades festgelegt. Es bleibt also abzuwarten, in welcher Höhe die Geldbußen tatsächlich ausfallen.

Wie verhält es sich mit regulatorischen Vorgaben zur IT-Sicherheit in Österreich?

In Österreich wurde die Europäische NIS Richtlinie (Netz- und Informationssicherheit) durch das Netzwerk- und Informationssicherheitsgesetz (NISG) sowie die Netz- und Informationssicherheitsverordnung (NISV) umgesetzt. Das NISG regelt dabei die generelle Umsetzung der EU-Richtlinie. Die NISV spezifiziert die sektorspezifischen Verpflichtungen der einzelnen KRITIS Organisationen.

Ist auch hier mit einer Anpassung zu rechnen?

Grundsätzlich können zukünftige Adaptierungen und Aktualisierungen nicht ausgeschlossen werden. Die Verordnung, welche die Verpflichtungen der einzelnen Betreiber kritischer Infrastruktur in Abhängigkeit deren Sektors regelt, ist im Juli 2019 in Kraft getreten. Der Fokus liegt daher zunächst auf der Umsetzung der Maßnahmen durch die einzelnen KRITIS Organisationen.

Damit wird IT-Sicherheit doch ganz klar zum Thema für die Geschäftsführung bzw. Aufsichtsräte, oder?

Definitiv! IT-Sicherheit ist aufgrund der zunehmenden Vernetzung und Digitalisierung sowie dem ständigen Anstieg von Cybercrime ein essenzieller Bestandteil einer jeden Organisation. Sicherheitsvorfälle, Verschlüsselungstrojaner und Data-Breaches der jüngeren Vergangenheit haben gezeigt, dass IT-Sicherheit eine Herausforderung ist, der sich alle Organisationen stellen müssen und die im obersten Management adressiert werden muss. Letztlich obliegt diese Verantwortung dem Top-Management.

Zu guter Letzt die wichtigste Frage: Wann wird das Gesetz kommen und welche Empfehlung geben Sie zukünftig den nach dem IT-SiG 2.0 Verpflichteten, wann und wie sie sich des Themas IT-Sicherheit annehmen sollten?

Bei der aktuellen Fassung handelt es sich um einen ersten Referentenentwurf. Wann genau die finale Version schließlich in Kraft tritt, ist aktuell noch nicht mit Sicherheit absehbar.

Unabhängig davon sollten sich alle Organisationen in den potenziell betroffenen Sektoren bereits jetzt mit den Inhalten des Entwurfes auseinandersetzen, da dieser bereits Anforderungen an die jeweiligen Sicherheitsstrategien und klare Zielvorgaben definiert. Jede Organisation, welche bereits jetzt mit der Umsetzung der genannten Anforderungen, beispielsweise der Anforderung an die Erkennung von Angriffsversuchen, beginnen, schafft damit nicht nur einen wesentlichen Mehrwert in der eigenen Cybersecurity, sondern auch einen Vorsprung im Hinblick auf die Umsetzungsfrist des IT-SiG 2.0.

Vielen Dank Herr Rusek für das spannende Interview zu dem sehr wichtigen Thema!

(Das Interview führte Dr. Jana Moser, Akarion AG)

Akarion bietet in der Akarion Compliance Cloud auch ein Modul zum Informationssicherheitsmanagement (ISMS) an, um manipulationssichere Nachweise zur Umsetzung gesetzlicher Anforderungen führen zu können.

Mit der Akarion Compliance Cloud können unter Berücksichtigung der Mandantentrennung intuitiv Geschäftsprozesse, Assets sowie Informationswerte definiert sowie entsprechende Risiken und Schutzbedarfe festgelegt werden. So kann man eine zum Unternehmen bzw. zur Einrichtung passende Schutzbedarfs- und Risikoanalyse erstellen sowie etwaige Maßnahmen ergreifen. Als Ergebnis verfügen Sie dann über Nachweise zur Umsetzung gesetzlicher Anforderungen, die zum Beispiel auch das IT-Sicherheitsgesetz für kritische Infrastrukturen vorgibt.

Zudem können Sie mit dem ISMS von Akarion auch die Einhaltung anderer Regularien, wie z.B. BSI-Standards und ISO 27001, individuell dokumentieren und die vollständige Dokumentationshistorie manipulations- und damit revisionssicher speichern. Nachweise können Sie einfach und schnell zum Beispiel in Form eines Reports zum Informationssicherheitsmanagement erstellen.

Gerne stellen wir Ihnen unser ISMS in der Akarion Compliance Cloud vor und unterstützen Sie mit unserer Technologie bei Ihrer Implementierung eines Informationssicherheitsmanagements.