IT-Sicherheitsgesetz – Erster Verordnungsentwurf öffentlich
Am 25. Juli des letzten Jahres trat das IT-Sicherheitsgesetz in Kraft. Als sogenanntes Artikelgesetz umgesetzt, verpflichtet es nunmehr als Teil des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik (BSI-Gesetz), die Betreiber sogenannter Kritischer Infrastrukturen, einen Mindeststandard IT-Sicherheit zu etablieren und sicherheitskritische Vorfälle an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zu melden.
Kritische Infrastrukturen?
Offen war bis jetzt, welche Unternehmen genau zu den Betreibern der Kritischen Infrastrukturen im Sinne des BSI-Gesetzes gezählt werden und sich um die Etablierung und Nachweisbarkeit getroffener (Mindest- ) Sicherheitsstandards kümmern müssen. Das IT-Sicherheitsgesetz sah vor, diese Details in einer Verordnung festzulegen; diese ist nunmehr im Entwurf erschienen. Inhaltlich verantwortlich ist das Bundesinnenministerium.
Kritische Infrastrukturen - Zur Erinnerung
Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die bestimmten, im Gesetz genannten Sektoren angehören. Die Sektoren sind:
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung,
- sowie Finanz- und Versicherungswesen.
Zusätzlich müssen die Einrichtungen, Anlagen oder Teile derselben von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10 BSI-Gesetz). Unternehmen, die in diese Definition fallen, müssen die Vorgaben des IT-Sicherheitsgesetzes, wie sie in das BSI-Gesetz eingeflossen sind, erfüllen.
Welche Unternehmen sind betroffen?
Damit stellte sich auch für viele unserer Kunden, die im Bereich der genannten Sektoren tätig sind, die Frage, ob sie von den neuen gesetzlichen Vorgaben betroffen sind. Muss sich ein großer Lebensmittelkonzern, der Tee und Reformhausprodukte herstellt und vertreibt, jetzt mit den Anforderungen an die Mindestsicherheitsstandards in der IT beschäftigen? Was kommt auf einen IT-Dienstleister zu, der für seine Kunden Software wartet und Cloud-Lösungen anbietet? Aufschluss darüber gibt nunmehr ein Blick in den Entwurf der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI - Gesetz.
Auffällig ist zunächst, dass in dem Entwurf der Verordnung nur für einen Teil der Sektoren Werte definiert sind, ab denen zugehörige Unternehmen als Betreiber Kritischer Infrastrukturen eingeordnet werden. Dies gilt für die Sektoren
- Energie
- Wasser
- Informationstechnik und Telekommunikation
- Ernährung.
Nicht erfasst sind hingegen:
- Transport und Verkehr
- Gesundheit
- Finanz- und Versicherungswesen.
KRITIS in drei Schritten
Der Weg hin zur Bestimmung welche Unternehmen aus den vom Verordnungsentwurf erfassten Sektoren als Betreiber Kritischer Infrastrukturen gelten, gleicht dann ein wenig einer mathematischen Aufgabe.
Im ersten Schritt wird bestimmt, welche Dienstleistungen aus den genannten Sektoren wegen ihrer Bedeutung für das Gemeinwohl und die öffentliche Sicherheit als kritisch anzusehen sind. Beispiel: Die Versorgung der Bevölkerung mit Lebensmitteln als Dienstleistung aus dem Sektor Ernährung oder die Datenspeicherung und – verarbeitung als Dienstleistung des Sektors Informationstechnik und Telekommunikation.
Die Grundlage für diese Einordnung als kritisch sind die Dienstleistungen, die im Gesetzentwurf des IT-Sicherheitsgesetzes genannt wurden und Ergebnisse von Studien, die das BSI im Rahmen der Umsetzung des Gesetzes beauftragt hat.
Im zweiten Schritt werden diejenigen Kategorien von Anlagen definiert, die für die Erbringung der im ersten Schritt festgelegten, kritischen Dienstleistungen erforderlich sind. So ist für die Versorgung der Bevölkerung mit Lebensmitteln die Produktion und der Handel mit Lebensmitteln nötig und um Daten speichern und verarbeiten zu können, müssen u.a. Rechenzentren und Server zur Verfügung stehen.
Im dritten Schritt schließlich können nunmehr ausgehend von den Ergebnissen des zweiten Schritts die Anlagen bestimmt werden, die einen für die Gesellschaft bedeutenden Grad der Versorgung übernehmen. Auf der Grundlage von verschiedenen Rechenmodellen wird in dem Verordnungsentwurf für jede Anlage ein Schwellenwert bestimmt, der erreicht oder überschritten werden muss, damit die betreffende Anlage als „kritische Infrastruktur“ im Sinne BSI-Gesetz eingeordnet wird. Der Betreiber hat dann die Vorgaben des BSI-Gesetzes zu den Mindeststandards der IT-Sicherheit und die anderen dort definierten Pflichten zu erfüllen.
Übersichtlicher wird der Weg der Bestimmung der betroffenen Unternehmen in einer Zeichnung, anhand des Beispiels Datenspeicherung und Datenverarbeitung:
Hohe Bedeutung für das Gemeinwesen
Nun ist jedoch nicht jede Serverfarm eine Kritische Infrastruktur im Sinne von § 2 Abs. 10 BSI-Gesetz, um in dem oben beschriebenen Beispiel zu bleiben. Hinzukommen muss die hohe Bedeutung der Serverfarm für das Funktionieren des Gemeinwesens, weil durch einen Ausfall oder eine Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit entstehen würden.
Schwellenwerte
Der Verordnungsentwurf legt die Bedeutung der verschiedenen Anlagen im Wege von Rechenmodellen im Einzelnen fest, die als Ergebnis einen Schwellenwert liefern. Der Schwellenwert ergibt in Kombination mit einem Bemessungswert Auskunft, ob ein Unternehmen als Betreiber einer Kritischen Infrastruktur eingeordnet wird oder nicht. Beispiel: In Bezug auf die Serverfarm ist eine Annahme von 4 Millionen in Deutschland verwalteten Servern zugrunde gelegt, sowie 500.000 Personen, die im Notfall durch bereit gehaltene Notfallkapazitäten noch versorgt werden können, ohne dass ein schwerwiegender Schaden entsteht – eine Gesamtbevölkerung von 80 Millionen Personen vorausgesetzt. Aus der Rechnung ergibt sich für die Serverfarmen ein Wert von 25.000 im Jahresdurchschnitt laufenden Instanzen. Dabei stellt die Zahl 25.000 den Schwellenwert da, während der Jahresdurchschnitt der Anzahl der laufenden Instanzen das Bemessungskriterium ist. Ist der Schwellenwert erreicht oder überschritten – hier also die 25.000 - , zählt das Unternehmen, das die Instanzen betreibt, zu den Kritischen Infrastrukturen und muss die Mindestanforderungen an die IT-Sicherheit und die anderen Vorgaben des BSI-Gesetzes erfüllen.
Ein Blick in die Tabelle gibt Aufschluss
Nach diesem Muster bestimmt die Verordnung in Tabellen für die einzelnen Anlagen der erfassten Sektoren Schwellenwerte, ab denen ein Unternehmen als Betreiber Kritischer Infrastrukturen gilt.
Unternehmen aus den oben genannten Sektoren können daher durch einen Blick in die Tabellen des Verordnungsentwurfs feststellen, ob sie durch das Angebot der dort näher definierten Dienstleistungen und Schwellenwerte als Betreiber von Kritischen Infrastrukturen eingeordnet werden. Auch bietet sich ein Blick in die Begründung des Verordnungsentwurfs an, da sich dort noch zahlreiche Definitionen und Hinweise finden, die dem Prozess der Findung der Kriterien für eine Kritische Infrastruktur zugrunde gelegt wurden.
Der Entwurf ist hier auf den Seiten des Bundesinnenministeriums abrufbar. Der zweite Teil der Verordnung ist für Endes des Jahres vorgesehen.
