IT-Sicherheitsgesetz: Die neue Kritis-Verordnung

Erst das IT-Sicherheitsgesetz, jetzt erste Kritis-Details

Als im letzten Juli das IT-Sicherheitsgesetz in Kraft trat, blieben entscheidende Fragen offen. Das Gesetz gibt nur einen Rahmen an zusätzlichen IT-Sicherheitspflichten für Betreiber Kritischer Infrastrukturen (Kritis) vor. Diese sind unter anderem dazu verpflichtet, Cyber-Angriffe zu melden und ein IT-Sicherheitsmanagementsystem einzuführen. Unklar war bislang jedoch nicht nur, wie die Mindestsicherheitsstandards im Einzelnen aussehen sollten, sondern auch, wer eigentlich als Kritis-Anlagenbetreiber gilt.

Dazu werden nach und nach in Form von Verordnungen erlassen. Die erste davon ist jetzt da, die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV). Sie regelt zunächst für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, welche Dienstleistungen, Anlagen und Versorgungsgrade als kritisch eingestuft werden. Die noch fehlenden Sektoren aus dem Gesetz – Sektoren Transport und Verkehr,
Gesundheit und Finanz- und Versicherungswesen – werden dann in einer zweiten Verordnung geregelt werden.

730 Anlagen betroffen

Dem Bundesinnenministerium zufolge sind deutschlandweit 730 Anlagen aus den genannten vier Sektoren betroffen. Deren Betreiber müssen nun aktiv werden: Wenn die Verordnung in Kürze im Bundesgesetzblatt verkündet wird, beginnen wichtige Fristen zu laufen: Zwei Jahre später müssen die vom Gesetz geforderten Informationssicherheitsmanagementsysteme (ISMS) zum Schutz der jeweiligen kritischen Infrastruktur installiert sein. Und schon innerhalb von sechs Monaten muss eine Kontaktstelle zum BSI eingerichtet sein.

Allerdings sind nur Anbieter ab einer gewissen Bedeutung direkt im Visier der Verordnung. Eine dezentrale Energieerzeugungsanlage etwa gilt erst dann als Kritis-Infrastruktur, wenn sie 420 MW Nennleistung erzeugt. Ein Wasserwerk muss ein Aufkommen von 22 Mio. Kubikmeter pro Jahr haben, um betroffen zu sein, ein Lebensmittelhändler fast eine halbe Million Tonnen Ware verkaufen. Salopper ausgedrückt: die Fotovoltaik-Anlage auf dem Dach des Gewerbebaus, der Trinkwasserbrunnen im Garten oder die Currywurst-Bude um die Ecke sind nicht betroffen. Einige mittelständische und auch kommunale Versorgungsbetriebe allerdings durchaus.

und ihre Zulieferer, Dienstleister und Auftragnehmer

Überhaupt ändert sich nicht nur für die direkt betroffenen Anbieter und Betreiber etwas, die nun ein ISMS auf Basis von ISO/IEC 27001 installieren müssen. Denn damit werden ja auch die Qualifikationsanforderungen an Dienstleister, Zulieferer und Geschäftspartner verschärft. In der Liefer- beziehungsweise Vertragskette eines Kritis-Unternehmens werden die ISMS-Anforderunge alle Beteiligten direkt oder indirekt betreffen.

Vorteil: Mit der Zertifizierung sind die Hausaufgaben auch fürs Versichern gemacht

Ein Vorteil der Zertifzierung der eigenen IT-Sicherheit besteht darin, dass damit

  1. der Nachweis eines profesionellen Sicherheitsniveaus im Betrieb vorliegt und
  2. eine genaue Analyse der relevanten (Rest-)Risiken deutlich einfacher wird.

Oder mit anderen Worten: Wer eine Zertifizierung durchführt, hat damit beste Voraussetzung, um sich schnell und zu günstigen Prämien versichern, und zwar sowohl das Cyberrisiko wie auch das Haftpflichtrisiko des Unternehmens wie des Managements. Mit einer Zertifizierung hat man die Grundvoraussetzungen für Versicherungsschutz erfüllt.

Mit der ihrer Richtlinie VdS RL 3473 zur Cyber-Security für kleine und mittlere Unternehmen bieten die Versicherer allerdings ein Zertifizierungslevel an, das sich an der ISO 27001 orientiert, aber nicht die Umsetzung sämtlicher Teilaspekte verlangt. Diese kleine Lösung ist ein sinnvolles Instrument für alle „Nicht“-KRITIS Unternehmen, die einerseits ihren Verpflichtungen als Geschäftspartner nachkommen und zugleich die Voraussetzungen für eine Cyber-Versicherung schaffen wollen, ohne dabei einen für KMU unangemessenen Aufwand in Kauf zu nehmen.

4 Kommentare

  1. Sehr geehrter Herr Schwandt,

    wenn die Voraussetzungen einer Versicherung mit einer Zertifizierung erfüllt ist dann gehen die Versicherungen ein Risiko ein.
    Ein Zertifikat an der Wand sagt nicht zwangsläufig etwas über ihr Sicherheitsniveau aus.Es ist zunächst nur Papier.
    Wenn durch zB. eine technische GAP Analyse die technische Wirksamkeit nicht ermittelt wird (und das passiert tendenziell oft)können sie nicht wissen ob ihre operative Sicherheit gewährleistet ist.
    mfg
    Manfred Peine
    admeritia GmbH

    • Sehr geehrter Herr Peine,
      Sie haben völlig Recht. An dieser Stelle geht auch der Versicherer ein hohes Risiko ein.

      Der Versicherer hat im Prinzip keine andere Möglichkeit, sich über das Sicherheitsniveau beim Versicherungsnehmer zu informieren. Je qualifizierter der Zertifizierer oder vertrauter er dem Versicherer ist, desto klarer kann er sich ein Bild vom Sicherheitsniveau beim Versicherungsnehmer machen. Folglich wird ein vom Versicherer bzw. dessen Organisationen (VdS) anerkanntes Fachunternehmen bei ihm eine höhere Wertschätzung erfahren als der, der nicht VdS- anerkannt ist!

      Wichtig ist auch zu wissen, daß es auch ohne externe Risikobeurteilung möglich ist, sich zu versichern. Hierzu dienen qualifizierte Fragebögen, die eine Selbstauskunft des Versicherungsnehmers darstellen und somit faktisch Vertragsbestandteil werden. Soll heißen, falsche oder unzureichende Informationen über den Sicherheitszustand zum Zeitpunkt des Vertragsschlusses führen idR unweigerlich zu Ärger. Der Versicherer kann ggf. von seinem Leistungsverweigerungsrecht Gebrauch machen wegen Verletzung vorvertraglicher Anzeigepflichten oder Obliegenheitsverletzung …

      Selbst unter Anwendung technischer GAP Analysetools wird der Versicherungsnehmer keine 100 % Sicherheit erfahren, so daß die Sinnhaftigkeit des Versicherungsschutzes uneingeschränkt beibehalten ist.

      mit freundlichen Grüßen

      Frank Schwandt

  2. Wo genau ist eigentlich vermerkt, dass KRITIS Zulieferer und Unternehmen nach DIN/ISO 27001 zertifiziert sein müssen und nicht nach BSI-IT-Grundschutz?

    • Hi Henrik,

      Deine Frage ist durchaus berechtigt, und leider nicht mit dem Hinweis auf
      eine Rechtsnorm zu beantworten.

      … genaugenommen – ist das nirgendwo vermerkt …

      Warum nicht? BSI Standards enthalten Empfehlungen des BSI zu Methoden,
      Prozessen, und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur
      Informationssicherheit. Dabei werden Themenbereiche aufgegriffen, die aus
      Sicht des Amtes von grundsätzlicher Bedeutung für die Informationssicherheit
      sind. Man könnte umgangssprachlich auch sagen, sie sollen Orientierungshilfe
      für Behörden und Unternehmen geben, ihre individuellen Anforderungen zu
      formulieren an technische und organisatorische Sicherheit. Um darauf
      aufsetzend einen Massnahme- und Kontrollkatalog zu entwickeln, der
      angemessene Sicherheit gewährleistet.

      Von vielen Unternehmen und Behörden, die die IT- Grundschutz-Vorgehensweise
      umsetzen, war zu hören, dies gern durch ein Zertifikat bestätigt zu
      bekommen. Damit das IT-Grundschutz-Zertifikat des BSI auch die
      internationale Zertifizierungsnorm für
      Informationssicherheitsmanagementsysteme (ISO 27001) mit abdeckt, wurde das
      BSI – Grundschutz-Zertifizierungsschema dem angepasst.

      Daher können seit 2006 auch ISO 27001 Zertifikate auf der Basis von
      IT-Grundschutz beim BSI beantragt werden! Das ist besonders für
      international tätige Institutionen interessant.

      mit freundlichen Grüßen

      Frank Schwandt

Einen Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.