IT-Sicherheitsgesetz: Unternehmen sollen sich besser gegen Cyberangriffe schützen

Unternehmen und Einrichtungen, die für das Funktionieren des Gemeinwesens in Deutschland von zentraler Bedeutung sind, sollen sich besser vor Angriffen aus dem Internet schützen. Das sieht das am 25. Juli 2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz: IT-Sicherheitsgesetz (IT-SiG), vor. Es verpflichtet die Betreiber sogenannter kritischer Infrastrukturen (KRITIS), IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik ( BSI) zu melden. Zudem schreibt es ein vom BSI festzulegendes Mindestniveau an IT-Sicherheit vor.

Betroffen von den Vorgaben sind rund 2000 Unternehmen, die das IT-Sicherheitsgesetz zu den Betreibern kritischer Infrastrukturen zählt: Energieversorger, Telekommunikationsanbieter und Banken gehören dazu, ebenso Transport- und Verkehrsbetriebe, IT-Unternehmen sowie die Bereiche Wasser, Gesundheitswesen und Ernährung. Die Unternehmen müssen dem BSI laut Gesetz eine anonyme Meldung senden, sobald sie einen kriminellen Cyberangriff auf ihr IT-System feststellen. Eine Rechtsverordnung soll die Einzelheiten regeln. Das BSI wertet die übermittelten Informationen aus, erstellt daraus ein Lagebild und warnt bei Bedarf andere Unternehmen. Wer gegen die Auflagen verstößt, dem droht ein Bußgeld von bis zu 100.000 Euro.

"KRITIS"-Betreiber haben nun noch rund eineinhalb Jahre Zeit, branchenweite IT-Sicherheitsmindeststandards zum Schutz der kritischen Infrastrukturen zu erarbeiten und entsprechende organisatorische und technische Maßnahmen umzusetzen. Die Standards müssen vom BSI geprüft und freigegeben werden. Auch danach sind die betroffenen Unternehmen verpflichtet, alle zwei Jahre gegenüber dem BSI nachzuweisen, dass sie die Anforderungen erfüllen. Dies kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Unternehmen, die IT-Sicherheit gewährleisten wollen, benötigen einen systematischen, ganzheitlichen Ansatz. Der Einsatz einer Firewall und einer Schutzsoftware allein reicht hier nicht aus.

Carsten Maßloff
Ceyoniq Consulting GmbH

Neben der regelmäßigen Überprüfung der Mindeststandards fordert das BSI auch ein dokumentiertes Informationssicherheitsmanagementsystem ( ISMS). Fachleute wie Carsten Maßloff, Geschäftsführer des Bielefelder IT-Beratungsunternehmens Ceyoniq Consulting begrüßen das: "Im Unternehmensalltag wirken häufig zahlreiche interne und externe Stellen bei der Datenverarbeitung mit. Deshalb ist eine systematische Gesamtbetrachtung der IT-Sicherheit notwendig." Durch Einzelmaßnahmen, wie den Einsatz von Firewalls oder Programmen zum Schutz vor Schadsoftware, sei kein angemessenes Sicherheitsniveau zu erreichen, so Maßloff. "Ein ISMS bietet als ganzheitliches, standardisiertes Managementsystem definierte Regeln und Prozesse sowie Steuerungsmechanismen und Kontrollen. Dadurch hilft es Unternehmen, Risiken zu minimieren und die Verfügbarkeit der Prozesse zu optimieren."