25.05.2015
Im letzten Blog zum IT-Sicherheitsgesetz haben wir gesehen, was das Gesetz schützen soll und wofür es gebraucht wird.
Der wesentliche Inhalt des Gesetzes beschränkt sich auf den Erhalt von Sicherheitskontrollen für die sogenannten kritischen Infrastrukturen (auch KRITIS genannt). Wie schon im letzten Blog aufgezählt, gehören Einrichtungen wie Krankenhäuser oder auch Energieanlagen dazu.
Fallen diese Anlagen aus oder werden sie auch nur in geringem Maße beeinträchtigt, so folgt daraus ein Versorgungsengpass für die Betroffenen und das würde eine Gefährdung der öffentlichen Sicherheit bedeuten.
Die Aufsicht über diese Infrastrukturen soll dem Bundesamt für Informationstechnik (BSI) obliegen.
Betreiber solch kritischer Infrastrukturen sollen mit Inkrafttreten des Gesetzes verpflichtet werden, in regelmäßigen Abständen (mindestens alle zwei Jahre) Nachweise über die Erfüllung der Anforderungen zu erbringen. Der Nachweis soll durch eine Auflistung der Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Werden Sicherheitsmängel aufgedeckt, so soll dies aus der Auflistung ersichtlich sein.
Das Bundesamt für Informationstechnik kann bei Auftreten von Sicherheitsmängeln die Übermittlung der gesamten Audits-, Prüfungs- oder Zertifizierungsergebnisse verlangen und zudem auch die Beseitigung der Sicherheitsmängel.
Um den Nachweis regelmäßig erbringen zu können, wird den kritischen Infrastrukturen ebenfalls auferlegt, eine Kontaktstelle zu benennen, um den Kontakt zum Bundesamt für Informationstechnik herzustellen und zu pflegen. Dies soll spätestens 6 Monate nach Inkrafttreten des IT-Sicherheitsgesetzes geschehen.
Es ist ebenfalls möglich, eine gemeinsame übergeordnete Ansprechstelle zu etablieren, die dann im kommunikativen Austausch mit dem BSI steht.
Ziel ist es, eine ständige Erreichbarkeit der Infrastrukturen zu gewährleisten, um im Zweifelsfall eine Meldung zum BSI machen zu können.
Eine genaue Definition der Kontaktstelle gibt es bislang nicht. Gemäß §8b Absatz 2, Nr. 4 c) des IT-Sicherheitsgesetzes stellt eine solche Kontaktstelle eine Behörde da, die von den Ländern benannt werden oder von den Infrastrukturen benannt werden.
Das BSI macht auf seiner Internetseite (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06125.html) auf folgende Prüffragen aufmerksam:
- Ist die Erreichbarkeit der Kontaktstelle für die Meldung von Sicherheitsvorfällen zu üblichen Arbeitszeiten gewährleistet?
- Sind die Mitarbeiter der zentralen Störungsannahme ausreichend geschult und für die Belange der Informationssicherheit sensibilisiert?
- Werden die Informationen über Sicherheitsvorfälle an der Kontaktstelle vertraulich behandelt?
- Sind die Kontaktdaten für die Meldung von Sicherheitsvorfällen allen Mitarbeitern bekannt?
Auf Grund der angestrebten Fragen wäre es auch möglich, einen versierten Fachmann wie beispielsweise einen Anwalt für diese Tätigkeiten zu beauftragen.
Fakt ist:
Zusammenfassend fällt für die Betreiber kritischer Infrastrukturen folgender Aufwand an:
- Die Einhaltung eines Mindestniveaus an IT-Sicherheit,
- den Nachweis der Erfüllung durch Sicherheitsaudits,
- das Betreiben einer Kontaktstelle
Damit leisten die Betreiber einen eigenen Beitrag. Als Gegenleistung bekommen die Betreiber der Infrastrukturen Auswertungen der Meldungen von anderen. Sie profitieren damit über ein Mehrfaches an Informationen. Gleichzeitig wird die Beratungsfunktion des BSI in diesem Bereich gestärkt.
Monika Wystup