Die Bedrohungslage für Betreiber von IT-Systemen ist in den letzten Jahren qualitativ und quantitativ herausfordernder geworden. Bereits seit Sommer 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft, welches ab Mai 2021 durch das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz 2.0) aktualisiert und erweitert wurde.
Ab dem 1. Mai 2023 müssen Betreiber von kritischen Infrastrukturen (KRITIS) nun Systeme zur Angriffserkennung im Einsatz haben. Die Vorschriften sind Teil der Digitalen Agenda der Bundesregierung und sollen dazu beitragen, Unternehmen, Behörden und letztlich die Bevölkerung besser vor Cyber-Angriffen zu schützen, indem die Sicherheit kritischer Infrastrukturen ständig auf dem aktuellen Stand der Technik gehalten wird.
Deshalb betrifft das IT-Sicherheitsgesetz vor allem die Informationssicherheit von KRITIS-Unternehmen. Aufgrund von deren besonderer Bedeutung für die Sicherheit der Bundesrepublik werden mit dem IT-Sicherheitsgesetz 2.0 neue Anforderungen an (KRITIS-)Betreiber formuliert, welche die Abwehr von bestehenden Bedrohungen aus dem Cyberraum sicherstellen sollen.
Betroffene KRITIS-Sektoren
Bei KRITIS-Sektoren handelt es sich im Wesentlichen um Bereiche, die für das Gemeinwesen von zentraler Bedeutung sind. Nach dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sind kritische Infrastrukturen Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
In der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) legt das Bundesministerium des Innern (BMI) die betroffenen Sektoren fest, die im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen zählen. Die BSI-Kritisverordnung soll 2023 überarbeitet werden.
Der allgemeine Richtwert zur Bestimmung ist, ob es sich bei einer Anlage um eine kritische Infrastruktur handelt und diese für die Versorgung von mehr als 500.000 Menschen verantwortlich ist. Neben dem spezifischen Sektor richtet sich dies zusätzlich nach dem Übersteigen zugehöriger Schwellenwerte:
- Energie: Strom- und Gasversorger, Kraftstoff-, Heizöl und Fernwärmeversorger. Dabei werden alle Unternehmen erfasst, die an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen beteiligt sind (Schwellenwerte).
- Wasser: Trinkwasserversorger und Abwasserbeseitigungsdienstleister. Betroffen sind alle Unternehmen in den Bereichen Wassergewinnung, -aufbereitung, -verteilung, -steuerung und -überwachung, sowie Abwasserbehandlung, Gewässereinleitung (Schwellenwerte).
- Ernährung: Lebensmittelversorgung (Produktion, Verarbeitung und Handel von Lebensmitteln) (Schwellenwerte).
- Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung. Dies umfasst IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste u.v.a. (Schwellenwerte).
- Gesundheit: Erfasst sind die stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Labordiagnostik (Schwellenwerte).
- Finanz- und Versicherungswesen: Hier sind Dienstleister erfasst, welche an der Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen beteiligt sind (Schwellenwerte)
- Transport und Verkehr: Personen- und Gütertransport (Schwellenwerte).
- Siedlungsabfallentsorgung: Hier sind Dienstleister erfasst, die für die Sammlung, Beseitigung und Verwertung von Siedlungsabfällen zuständig sind. Der Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung durch das BMI und Bundesamt für Sicherheit in der Informationstechnik (BSI) erst erarbeitet.
Änderungen durch das IT-Sicherheitsgesetz 2.0
Mit dem IT-Sicherheitsgesetz 2.0 zahlreiche Änderungen einher:
“Erweiterung des Anwendungsbereichs”
Der Katalog der KRITIS-Sektoren wurde im Zuge des IT-Sicherheitsgesetzes 2.0 auf Hersteller von kritischen Komponenten, Unternehmen im besonderen öffentlichen Interesse und die Siedlungsabfallentsorgung erweitert.
Unternehmen im besonderen öffentlichen Interesse sind:
- Rüstungshersteller,
- Hersteller von IT-Produkten für die Verarbeitung von Verschlusssachen,
- die nach der inländischen Wertschöpfung größten Unternehmen mit erheblicher wirtschaftlicher Bedeutung und deren bedeutsamste Zulieferer und
- Betreiber eines Betriebsbereichs der oberen Klasse der Störfallverordnung oder gleichgestellte Betreiber.
“Neue IT-Sicherheitspflichten”
Die Betreiber von kritischen Infrastrukturen sollen durch strengere Anforderungen besser vor Hacker-Angriffen geschützt und neue IT-Sicherheitsstandards geschaffen werden. Dafür wurden folgende Pflichten neu eingeführt:
- Pflicht zur Registrierung einer kritischen Infrastruktur beim BSI,
- Pflicht zum Einsatz von Angriffserkennungssystemen,
- Vorlagepflicht von relevanten Unterlagen für die Bewertung, ob eine KRITIS vorliegt,
- Erteilung von Auskünften bzgl. Schwellenwerte,
- Anzeigepflicht bei erstmaligem Einsatz einer kritischen Komponente gegenüber dem BMI und Vorlage einer Garantieerklärung des Herstellers und
- Herausgabepflicht der notwendigen Informationen zur Bewältigung einer Störung.
“Neue Aufgaben des BSI”
Durch die Neuerung soll die Stellung des BSI gestärkt werden. So wurde das BSI die nationale Behörde für Cybersicherheitszertifizierung gemäß §9a BSIG.
Auch der Verbraucherschutz fällt nun unter den Aufgabenbereich des BSI, das eine neue unabhängige und neutrale Beratungsstelle für Verbraucher und Verbraucherinnen in Fragen der IT-Sicherheit ist.
Das BSI übernahm mit dem Inkrafttreten des Gesetzes die Aufgabe der Entwicklung und Bewertung von Identifizierungs- und Authentifizierungsverfahren und Konformitätsprüfung von IT-Produkten.
Zudem hat das BSI eine Anordnungsbefugnis gegenüber Diensteanbietern im Sinne des Telekommunikationsgesetzes (§7c BSIG) und Telemedienanbieter (§7d BSIG), um Gefahren für die Informationssicherheit abwehren zu können.
Dafür darf das BSI nach §7b Abs. 4 BSIG neuerdings auch Systeme einsetzen, die Angreifern einen erfolgreichen Angriff vortäuschen, damit der Einsatz der Schadsoftware oder der Angriffsprogramme ausgewertet werden kann.
Ferner kann das BSI gemäß §9c BSIG ein IT-Sicherheitskennzeichen auf freiwilliger Basis vergeben. Dieses besteht aus einer Herstellererklärung über die IT-Sicherheitsanforderungen für eine gewisse Dauer und einer Sicherheitsinformation des BSI. Aktuell kann die Vergabe eines solchen IT-Sicherheitskennzeichen für Breitbandrouter, E-Mail-Dienste und smarte Verbrauchsgeräte erfolgen.
Auswirkungen auf betroffene Unternehmen
Die Änderungen im Zuge des IT-Sicherheitsgesetzes haben zahlreiche Auswirkungen auf KRITIS-Betreiber.
Melde- und Anzeigepflichten
KRITIS-Betreiber müssen sich nun nach §8b BSIG beim BSI registrieren und eine Kontaktstelle benennen, über welche sie jederzeit erreichbar sind. Zudem kann das BSI künftig betroffene Unternehmen auffordern, Unterlagen und Auskünfte im Hinblick auf die Pflicht zur Registrierung offenzulegen, wenn sich diese nicht bereits freiwillig registrieren. Das BSI kann im nächsten Schritt Unternehmen auch pflichtweise als kritische Infrastruktur registrieren.
Weitere Meldepflichten nach §8b BSIG bestehen bei erheblichen Störungen der Informationssicherheit. Dafür muss die Störung noch nicht eingetreten sein. Es genügt, wenn es sich um eine außergewöhnliche IT-Störung handelt, deren Eintreten für möglich gehalten wird. Dazu zählen unter anderem Sicherheitslücken, unbekannte Schadsoftware, Spear-Phishing und außergewöhnliche oder unerwartete IT-Defekte, z.B. nach Software-Updates.
Zudem muss der Einsatz von kritischen Komponenten im Sinne des §2 Abs. 13 BSIG dem BMI vor Beginn ihres Einsatzes angezeigt werden. Vom Hersteller ist eine Garantieerklärung über dessen Vertrauenswürdigkeit einzuholen. Diese muss entlang der gesamten Lieferkette bei den Zulieferern vorliegen und sodann dem BMI vorgelegt werden.
Technische Pflichten
Betroffene Unternehmen sind nach §8a BSIG verpflichtet, ihre IT-Infrastruktur nach dem Stand der Technik abzusichern und diese alle zwei Jahre überprüfen zu lassen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu vermeiden. Dies lässt sich am besten durch die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 erreichen, welches das BSI als ausreichenden Nachweis anerkennt.
Ab dem 1. Mai 2023 sind zudem Systeme zur Erkennung von Angriffen für KRITIS-Unternehmen verpflichtend. Dies dient der Identifizierung und Vermeidung von Bedrohungen und um geeignete Beseitigungsmaßnahmen einer eingetretenen Störung treffen zu können. Das BSI hat hierfür eine detaillierte Orientierungshilfe veröffentlicht.
Gesonderte Pflichten für große Unternehmen und die Rüstungsindustrie
Zudem gelten gesonderte Pflichten für Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung sowie die Rüstungsindustrie aus §8f BSIG. So müssen sie dem BSI ab dem KRITIS-Geltungszeitpunkt und fortlaufend alle zwei Jahre eine Selbsterklärung über ihre IT-Sicherheit vorlegen. Darin muss folgendes angegeben sein:
- Zertifizierungen im IT-Sicherheitsbereich und die zugrundeliegende Prüfungsgrundlage der letzten zwei Jahre,
- sonstige Sicherheitsaudits im IT-Sicherheitsbereich der letzten zwei Jahre,
- Beschreibung des Schutzes besonders schützenswerter IT-Systeme, Komponenten und Prozesse und
- Einhaltung des Stands der Technik.
Zudem sind Störfälle unverzüglich und mit Angabe der technischen Rahmenbedingungen und der vermuteten Ursache dem BSI zu melden.
Branchenspezifische Sicherheitsstandards
Auch haben Betreiber kritischer Infrastrukturen die Möglichkeit, Branchenspezifische Sicherheitsstandards (B3S) vorzuschlagen und durch das BSI überprüfen zu lassen. So können die zuvor genannten Maßnahmen zur Vermeidung von Störungen konkretisiert werden.
Das BSI veröffentlichte eine Übersicht mit den bereits bestehenden und genehmigten branchenspezifischen Sicherheitsstandards verschiedener Branchen. Branchenspezifische Sicherheitsstandards können außerdem gut in ein bestehendes ISMS integriert werden oder beim Aufbau eines solchen berücksichtigt werden.
- Die Branchenspezifischen Sicherheitsstandards für die Wasserversorgung und die Abwasserbeseitigung können Sie über die Website der DVGW oder der DWA Diejenigen für den Bereich Strom können hier eingesehen werden.
- Für Branchenspezifische Sicherheitsstandards der Ernährungsindustrie wenden Sie sich an die Bundesvereinigung der Deutschen Ernährungsindustrie e.V.
- Ein Ansprechpartner für die branchenspezifischen Sicherheitsstandards für den Bereich Pharma (Arzneimittel und Impfstoffe) ist unter anderem der Bundesverband der Pharmazeutischen Industrie e. V.
- Die branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus finden Sie auf der Website der Deutschen Krankenhausgesellschaft (DKG). Gerade hier ist jedoch zu betonen, dass aufgrund Patientendatenschutzgesetzes erhöhte Anforderungen im Bereich der Informations- und IT-Sicherheit auch für solche Krankenhäuser gelten, die aufgrund des Schwellenwertes nicht als kritische Infrastruktur gelten. Daher ist es zu empfehlen, auch hier branchenspezifische Sicherheitsstandards anzuwenden. Weitere Informationen dazu finden Sie in unserem Ratgeber zum Patientendatenschutzgesetz und dessen Auswirkungen.
Bußgeldrisiko
Wer als Betreiber einer kritischen Infrastruktur gegen die Meldepflicht verstößt, keine erforderlichen Vorkehrungen zum Schutz vor Störungen trifft oder einer anderen Pflicht nicht nachkommt, riskiert empfindliche Bußgelder. Mit dem IT-Sicherheitsgesetz 2.0 sind nicht nur weitere Bußgeldtatbestände hinzugekommen, sondern wurden auch in deren Ahndungshöhe drastisch ausgebaut. So können nach § 14 Abs. 5 BSIG Bußgelder tatbestandsabhängig in vier Stufen zwischen 100.000 EUR und 2 Mio. EUR verhängt werden. Gegen juristische Personen können nach § 14 Abs. 5 BSIG mit Verweis auf § 30 Absatz 2 Satz 3 OWiG, etwa bei Zuwiderhandlung gegen Anordnungen des BSI zur Wiederherstellung oder der Gefahrenabwehr, bis hin zu 20 Mio. EUR Bußgeld verhängt werden.
Ausblick
Im Dezember 2022 hat das BMI ein Eckpunktepapier für ein neues KRITIS-Dachgesetz veröffentlicht. Darin sind Pläne für die Umsetzung der Critical Entities Resilience (CER)-Richtlinie der Europäischen Union, ein zentrales Meldesystem für Störungen, Mindeststandards für Anlagen und verpflichtende Risikobewertungen enthalten.
In Zukunft wird auch ein IT-Sicherheitsgesetz 3.0 erwartet, welches die EU NIS-2-Richtlinie umsetzen und weitere Änderungen der Anforderungen für KRITIS-Betreiber mit sich bringen soll. Die genaue Umsetzung und welche Anforderungen gestellt werden, bleiben jedoch abzuwarten.
Bestellen Sie einen unserer Experten als externen Informationssicherheitsbeauftragten und lassen sich bis zur erfolgreichen Zertifizierung nach ISO 27001 begleiten!