Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz verpflichtet die Betreiber so genannter kritischer Infrastrukturen und Anbieter von geschäftsmäßig erbrachten Telemediendiensten und Telekommunikationsdienstleistungen zur Einhaltung bestimmter Regelungen zur Absicherung von IT Systemen. Hinzukommen bestimmte Melde und Informationspflichten. Das Gesetz ist bußgeldbewehrt bis zu einem Betrag von 100.000,00 Euro. Dieser Beitrag befaßt sich kurz mit dem Inhalt des Gesetzes. Er ist interessant für diejenigen IT Unternehmen, die entweder Leistungen für die BKI´s (Betreiber kritischer Infrastrukturen) erbringen oder selbst zu den Telemedien und Telekommunikationsanbietern gehören.
Teil I – BKI
Einzelne Aspekte
1.) Kritische Infrastrukturen
Kritische Infrastrukturen sind Einrichtung, Anlagen oder Teile, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz-und Versicherungswesen angehören und von hoher Bedeutung für das Funktionen des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdung für die öffentliche Sicherheit eintreten würden. Zu den kritischen Infrastrukturen können daneben auch Krankenhäuser, Labore, Unternehmen der Ernährungswirtschaft, des Lebensmittelhandels sowie Banken, Finanzdienstleister und Versicherungen fallen. Die Betreiber kritischer Infrastrukturen werden mit dem Kürzel BKI abgekürzt.
Welche Branchen im einzelnen als kritische Infrastruktur qualifiziert werden, ist durch das BMI festzulegen. Eigentlich besteht eine Ausnahmeregelung für so genannte Kleinstunternehmen. Aber die Ausnahme der Ausnahme folgt: Wer als IT-Unternehmen Dienstleistung für PKI erbringt, unterfällt wieder dem Anwendungsbereich des IT-Sicherheitsgesetzes.
2.) Stand der Technik
Die BKIs haben gemäß § 8a Abs. 1S.1 BSIG angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen maßgeblich sind. Entsprechende Vorkehrungen und Maßnahmen haben dem Stand der Technik zu entsprechen. Wann immer der Begriff Stand der Technik in der IT Branche verwendet wird, ist Vorsicht angesagt. Die IT unterliegt einem dermaßen rasanten Wandel, dass kaum eine belastbare Aussage darüber getroffen werden kann, was zu einem bestimmten Datum zum Stand der Technik gehört. Normalerweise gehören zum Stand der Technik hinreichend erprobte Verfahren und Maßnahmen. Nur ist meine Erfahrung, dass Maßnahmen und Verfahren, die in der IT ausreichend erprobt sind, schon beinahe wieder zum alten Eisen gehören. Da die Frage nach der Einhaltung des Standes der Technik eigentlich immer im Zusammenhang mit Haftungsfragen erörtert wird, kann man sich als Maßregel merken, dass man diejenigen technischen Maßnahmen und Verfahren zu ergreifen hat, die gerade marktüblich sind und verhältnismäßig sind. Sich gegen jegliche Angriffe von außen oder innen zu rüsten, würde unverhältnismäßige Maßnahmen auslösen. Was vernünftig ist, richtet sich danach, welche Rechtsgüter tatsächlich betroffen sind und welche Gefährdungslage für diese Rechtsgüter besteht. Abstrakte Aussagen darüber, wie viel Zeit, Manpower und Geld man in die Sicherheit investieren soll, lassen sich also erst im Hinblick auf das zu schützende Rechtsgut und die konkrete Gefährdungslage treffen. Und auch hier sei gesagt, dass das Gesetz von keinem Menschen Unmögliches verlangt. Im Zweifel hilft immer ein Blick auf die Wettbewerber, um sich zu orientieren.
3.) Audits
Die BKIs haben mindestens alle 2 Jahre ein Sicherheitsaudit durchzuführen. Einzelheiten über die Durchführung des Audits und das Verfahren ergeben sich aus den §§ 8 Abs. 3 und 4 BSIG.
4.) Meldepflichten und Verpflichtung zur Behebung von Sicherheitsmängeln.
Meldepflichten im Falle von Störungen oder Beeinträchtigung der kritischen Infrastruktur sind dem die BSI unverzüglich anzuzeigen, §§ 8 Abs. 3 und 4 BSIG. Wichtig in dem Kontext ist, dass das BSI nun gemäß dem neuen § 8A Abs. 3 Satz 4 BSIG bei Sicherheitsmängeln per Verwaltungsakt Übermittlung von Audit – Prüfungs- oder Zertifizierungsergebnissen oder die Beseitigung von Sicherheitsmängeln anordnen kann. Eine entsprechende Anordnung muss in Übereinstimmung mit der zuständigen Aufsichtsbehörde erfolgen.
Verstöße
Bußgelder von bis zu 50.000 € drohen, wenn vorsätzlich oder fahrlässig
– technische und organisatorische IT Maßnahmen nach dem § 8 Abs. 1 BSIG nicht, nicht richtig nicht vollständig oder nicht rechtzeitig getroffen werden (§ 14 Abs. 1 Nummer 1, Abs. 2 BSIG) nicht realisiert werden
– Kontaktadressen zur Meldung von Sicherheitsvorfällen nicht oder nicht rechtzeitig benannt werden
oder
– Meldung von Sicherheitsvorfällen nicht, nicht richtig nicht vollständig oder nicht rechtzeitig abgegeben werden, §§ 8b Abs. 4 Satz 1 Nr. 2,14 Abs. 1 Nummer 3 Abs. 2 BSIG
– einer vollziehbaren Anordnung des BSI zur Ermittlung von Audit-, Prüfungs- oder Zertifizierungsergebnissen nicht nachgekommen werden.
Und bis zu 100.000 € muss sein, wer vorsätzlich oder fahrlässig einer vollziehbaren Anordnung des BSI zur Beseitigung von Sicherheitsmängeln nicht nachkommt.