IT-Sicherheit: Auf Netzbetreiber kommt erheblicher Aufwand zu

Download PDF
(c) BBH

(c) BBH

Das Bundesministerium des Innern (BMI) will die IT-Sicherheit in Unternehmen und Verwaltung und den Schutz der Bürgerinnen und Bürger im Netz verbessern. Zu diesem Zweck hat das Ministerium am 19.8.2014 erneut einen Gesetzentwurf veröffentlicht. Ein erster Gesetzentwurf aus 2013 war nicht umgesetzt worden.

Das Gesetz schreibt ein Mindestniveau an IT-Sicherheit für so genannte „Kritische Infrastrukturen“ fest und soll die Zusammenarbeit zwischen deren Betreibern und dem Staat verbessern.

Gemeint sind damit Einrichtungen und Anlagen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährungs-, Finanz- und Versicherungswesen, die für das Funktionieren des Gemeinwesens gebraucht werden und deren Ausfall oder Beeinträchtigung die Versorgung oder die öffentlichen Sicherheit erheblich beeinträchtigen würde (vgl. Art. 1 Nr. 2 des Gesetzentwurfs). Was im Einzelnen unter den Begriff Kritische Infrastruktur fällt, wird noch in einer Rechtsverordnung geregelt. Jedenfalls sind aber Unternehmen der Energie- und Wasserversorgung und der Abwasserentsorgung sowie der Telekommunikationsbranche grundsätzlich adressiert.

Die Regelungen des Gesetzes finden unter dem Gesichtspunkt der Verhältnismäßigkeit keine Anwendung auf sog. Kleinstunternehmen (im Sinne der Empfehlung 2003/361/EG der Europäischen Kommission). Voraussetzung dafür ist, dass die Unternehmen weniger als zehn Personen beschäftigen und ihr Jahresumsatz bzw. ihre Jahresbilanz 2 Mio. Euro nicht überschreiten. Insbesondere Betreiber von Energie-, Telekommunikations- und (Ab-)Wassernetzen dürften in der Regel über dieser Schwelle liegen.

Was verlangt das Gesetz im Wesentlichen?

Betreiber Kritischer Infrastrukturen sind nach dem Gesetzentwurf verpflichtet, selbst angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik und sonstige Maßnahmen zu treffen, um diejenigen informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, zu schützen (vgl. Art. 1 Nr. 8 des Gesetzentwurfs). Dafür haben sie zwei Jahre ab Inkrafttreten der noch zu erlassenden Rechtsverordnung Zeit. Die Pflicht gilt nur, soweit der Umsetzungsaufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Netzbetreiber aus den adressierten Bereichen müssen zukünftig also ein Mindestniveau an IT-Sicherheit gewährleisten. Laut Gesetzesbegründung müssen sie obendrein Sicherheits- und Notfallkonzepte aufstellen und auch nachweisen. Hierfür verlangt der Gesetzentwurf Sicherheitsaudits, Prüfungen und Zertifizierungen, wobei deren Ausgestaltung im Detail nicht gesetzlich vorgegeben wird. Generell soll geprüft werden, „ob der Betreiber die für seine Branche und Technologie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt, ein Information Security Management (Sicherheitsorganisation, IT-Risikomanagement etc.) betreibt, kritische Cyber-Assets identifiziert hat und managt, Maßnahmen zur Angriffsprävention und –erkennung betreibt und ein Business Continuity Management (BCM) implementiert hat und darüber hinaus die branchenspezifischen Besonderheiten (zum Beispiel verankert durch den jeweiligen branchenspezifischen Sicherheitsstandard, sofern ein solcher erstellt und anerkannt wurde) umsetzt“ (vgl. die Begründung zu Art. 1 Nr. 8, S. 39).

Die Betreiber Kritischer Infrastrukturen und ihre Branchenverbände sollen branchenspezifische Sicherheitsstandards vorschlagen, die das Bundesamt für IT-Sicherheit (BSI) auf Antrag anerkennen kann. Diese vom BSI anerkannten branchenspezifischen Sicherheitsstandards konkretisieren die organisatorischen und technischen Vorkehrungen und sonstigen Maßnahmen.

Der IT-Sicherheitskatalog der BNetzA

Im Bereich Energie hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog erarbeitet, der Sicherheitsanforderungen zum Schutz von (für die Netzführung bzw. -leitung) relevanten Telekommunikations- und Datenverarbeitungssystemen aufstellt. Er liegt bislang ebenfalls lediglich als Entwurf vor, dürfte aber voraussichtlich noch in 2014 fertig werden. Da er nach § 11 Abs. 1a EnWG im Benehmen mit dem BSI erstellt wird, kann davon ausgegangen werden, dass der Katalog auch als branchenspezifischer Sicherheitsstandard im Sinne des IT-Sicherheitsgesetzes anerkannt wird.

Betreiber Kritischer Infrastrukturen müssen auch mindestens alle zwei Jahre auf geeignete Weise nachweisen, dass sie die Anforderungen erfüllen, indem sie dem BSI eine Aufstellung der durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel übermitteln. Bei Sicherheitsmängeln kann das BSI deren unverzügliche Beseitigung verlangen.

Weiterhin haben Betreiber Kritischer Infrastrukturen Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können, unverzüglich an das BSI zu melden und der Behörde Warn- und Alarmierungskontakte zu benennen, über die sie jederzeit erreichbar sind (vgl. Art. 1 Nr. 8 des Gesetzentwurfs). Die Meldung von Angriffen soll dabei – im Gegensatz zu dem ersten Gesetzentwurf aus 2013 – auch anonym möglich sein, wenn diese nicht „konkret zu einem Ausfall oder zu einer Beeinträchtigung der Kritischen Infrastruktur führen“. Das BMI trägt damit Bedenken von Unternehmen Rechnung, bekannt gewordene Cyberangriffe könnten ihren Ruf beschädigen.

Wie geht es weiter?

Der Referentenentwurf des IT-Sicherheitsgesetzes wird nunmehr zunächst innerhalb der Bundesregierung abgestimmt. Das BMI will ihn dann intensiv mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft erörtern. Anschließend wird der Gesetzentwurf in das parlamentarische Gesetzgebungsverfahren eingebracht werden. Wann genau das Gesetz in Kraft treten wird, ist damit zum jetzigen Zeitpunkt noch nicht absehbar.

Bislang handelt es sich lediglich um einen Referentenentwurf des BMI, der erst nach Abschluss des parlamentarischen Gesetzgebungsverfahrens verbindlich wird. Da aber die BNetzA derzeit in Benehmen mit dem BSI parallel einen IT-Sicherheitskatalog erarbeitet, der gegebenenfalls früher in Kraft tritt (und später gegebenenfalls inzident auch über das IT-Sicherheitsgesetz als anerkannter branchenspezifischer Sicherheitsstandard anzuwenden sein wird), sollte man schon jetzt die erforderlichen Schritte anstoßen, um diese Vorgaben umzusetzen.

Der Aufwand ist teilweise beträchtlich: So fordert der IT-Sicherheitskatalog laut Entwurf insbesondere die Einführung eines sog. Information-Security-Management-Systems (ISMS). Bestandteil wird eine Zertifizierung entsprechend der Normenreihe ISO 27000 ff. sein.

Grundsätzlich ist eine Anerkennung der mit der Zertifizierung sowie Umsetzung weiterer Maßnahmen verbundenen Kosten auch für Energienetzbetreiber möglich, insbesondere wenn sie im Basisjahr erfolgen, da der Betrieb eines sicheren Energieversorgungsnetzes eine gesetzliche Pflicht des Netzbetreibers ist. Vor dem Hintergrund, dass die Basisjahre bei Strom (2016) und Gas (2015) anstehen, sollte man sich mit den kommenden Vorgaben sowohl des IT-Sicherheitskatalogs als auch des IT-Sicherheitsgesetzes bereits in 2014 befassen. 

Ansprechpartner BBH: Dr. Christian de Wyl/Dr. Jost Eder/Jan-Hendrik vom Wege
Ansprechpartner BBHC: Dr. Andreas Lied