Das BSI-Gesetz

Schwellenwerte sind der Maßstab

Alle Unternehmen und Organisationen der Kritischen Infrastruktur müssen sich ab einem bestimmten Schwellenwert, der in der sogenannten KRITIS-VO definiert ist, durch unabhängige Dritte überprüfen lassen.

Erfahren Sie hier mehr zum BSI-Gesetz

§ 8a Abs. 1 und 2 BSI-Gesetz:

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technikeingehalten werden.

(2) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre(*) die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen.

* Für bestimmte Branchen gibt es hier Sonderfälle, d.h. bei den Zertifizierungen nach den IT-Sicherheitskollegen gemäß EnWG sind die Zertifizierungsaudits jährlich durchzuführen.

Durch die Anpassung des neuen IT-Sicherheitsgesetzes in Hinblick auf Sanktionierungen des Bundesdatenschutzes in Höhe von 20 Millionen Euro bzw. 4% des weltweiten Unternehmensumsatzes ergibt sich eine Verpflichtung zum Handeln.

Noch immer herrscht eine große Unsicherheit darüber, was aktuell zu tun ist. Da Schwellenwerte weiter herabgesetzt werden und sich mehr Unternehmen an die Verpflichtungen des BSI-Gesetzes halten müssen, ist eine Besserung der Situation nicht zu erwarten.

Branchenexperten führen die Prüfung durch …

… wobei die mit dem KRITIS-Betreiber abgestimmte Prüfgrundlage gewählt wird. Zentrale Elemente der Prüfung sind folgende:

1. Scope

Zunächst ist der Geltungsbereich unter diesen Aspekten zu prüfen und zu bewerten:

  • Vollständigkeit
  • Eignung, Erforderlichkeit, Wirksamkeit und Angemessenheit
  • Funktionsfähigkeit der kritischen Dienstleistung

2. Strukturierter Ansatz

Der strukturierte Ansatz aus Schutzbedarfsfeststellung, Risikomaßnahmen und Ableitung von Maßnahmen ist zu prüfen und zu bewerten.

3. Maßnahmenumsetzung

Abschließend ist zu prüfen und zu bewerten, ob die Anforderungen angemessen umgesetzt sind.

Im Ergebnis gibt es vier mögliche Feststellungstypen

  • Keine Abweichung
  • Empfehlung
  • geringfügige Abweichung bzw. Sicherheitsmangel
  • schwerwiegende oder erhebliche Abweichung bzw. Sicherheitsmangel.

Alle Abweichungen und Sicherheitsmängel werden im Prüfbericht aufgenommen. Hierzu gehören:

  • Geplante Nachverfolgung
  • zu ergreifende Maßnahmen
  • die Frist zur Beseitigung

Das BSI fordert die Festlegung und Überwachung der Umsetzung: Sollte ein Sicherheitsmangel als schwerwiegende Abweichung bewertet worden sein, so sind die Ursachen zu analysieren und nachvollziehbar zu dokumentieren (Aufgabe des KRITIS-Betreibers).

PRÜFGRUNDLAGE

Die Prüfgrundlage ist formal nicht zwingend identisch der Methode, die der KRITIS-Betreiber bei der Implementierung seines ISMS genutzt hat. Aus Effektivitätsgründen wird dies aber empfohlen. Die Prüfgrundlage muss vorab festgelegt werden. Hierzu sieht das BSI folgende Varianten vor:

Sofern kein anerkannter B3S genutzt wird, sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu nutzen. Auch hier gilt: Ein für die Branche existierender B3S muss nicht verpflichtend genutzt werden.

Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S) – das kann auch ein B3S eines anderen Sektors sein.

Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards (B3S).

Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen – zu welchem Umfang diese einbezogen werden können, entscheidet die prüfende Stelle.

Sofern kein anerkannter B3S genutzt wird, sind die Vorgaben der B3S-Orientierungshilfe „Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG“ zu nutzen. Auch hier gilt: Ein für die Branche existierender B3S muss nicht verpflichtend genutzt werden.

Welche Referenzdokumente müssen zwingend vorgelegt werden:

  • Beschreibung des Informationssicherheitsmanagementsystems (ISMS)
  • Konzept und Dokumentation des Risikomanagements inkl. Risikoanalyse
  • Notfallkonzept und Beschreibung des Continuity Managements
  • Dokumente des Asset Managements
  • Dokumentation der Prozesse zur baulichen und physischen Sicherheit
  • Dokumentation der personellen und organisatorischen Sicherheit
  • Konzepte und Dokumentation zur Vorfallserkennung und -bearbeitung
  • Konzepte und Dokumentation von Überprüfungen
  • Richtlinien zur externen Informationsversorgung
  • Richtlinien zum Umgang mit Lieferanten und Dienstleistern
  • Sicherheitskonzept

IT-SICHERHEITSKATALOGE

Für den sicheren Betrieb in der Energiewirtschaft

Zum Schutz gegen Bedrohungen der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb in der Energiewirtschaft notwendig sind, wurden Mindeststandards in den sogenannten „IT-Sicherheitskatalogen“ von der Bundesnetzagentur festgelegt.

Hier erfahren Sie mehr

  1. für Betreiber von Strom- und Gasnetzen:IT-Sicherheitskatalog nach § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG)
    (veröffentlicht im August 2015)
  2. für Betreiber von Energieanlagen:IT-Sicherheitskatalog nach § 11 Abs. 1b Energiewirtschaftsgesetz EnWG) (veröffentlicht im Dezember 2018)

Der IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung.

Sicherheitsanforderungen sind:

  1. Informationssicherheitsmanagementsystem
  2. Sicherheitskategorien und Maßnahmen
  3. Ordnungsgemäßer Betrieb der betroffenen ITK-Systeme
  4. Netzstrukturplan
  5. Risikoeinschätzung
  6. Risikobehandlung
  7. Ansprechpartner IT-Sicherheit

DerIT-Sicherheitskatalog nach § 11 Abs. 1b EnWG verpflichtet Energieanlagenbetreiber zur UmsetzungIT-sicherheitstechnischer Mindeststandards. Kernforderung ist die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß DINENISO/IEC 27001 und dessen Zertifizierung. Darüber hinaus müssen die betroffenen Energieanlagenbetreiber der Bundesnetzagentur eine/n Ansprechpartner/in fürIT-Sicherheit benennen.

Sicherheitsanforderungen sind:

  1. Informationssicherheitsmanagementsystem
  2. Sicherheitskategorien und Maßnahmen
  3. Ordnungsgemäßer Betrieb der betroffenen ITK-Systeme
  4. Netzstrukturplan
  5. Risikoeinschätzung
  6. Risikobehandlung
  7. Ansprechpartner IT-Sicherheit

Zur Erfüllung der Anforderungen hat die Bundesnetzagentur zusammen mit der Deutschen Akkreditierungsstelle ein eigenes Zertifikat erstellt. Das Zertifikat bzw. der Zertifizierungsprozess basiert im Wesentlichen auf ISO/IEC 27001, ISO/IEC 27001 sowie ISO/IEC 27019, zusätzliche Anforderungen des IT-Sicherheitskataloges wurden ergänzt. Somit stellen bestehende Zertifizierungen nach ISO/IEC 27001, BSI-Grundschutz etc. keinen hinreichenden Ersatz für eine jährlich durchzuführende Zertifizierung nach IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG bzw. § 11 Abs. 1b EnWG dar.

ZERTIFIZIERUNG NACH ISO/IEC 27001

Branche, Unternehmensgröße und mehr bestimmen Zertifizierungsmaßnahmen

Die Vorgehensweise bei der Zertifizierung nach ISO 27001 ist vergleichbar mit der bei anderen Managementsystemen wie zum Beispiel ISO 9001. Vereinfacht besteht diese in der Umsetzung der in der ISO 27001 vorgegebenen Anforderungen, der Überprüfung durch einen Auditor sowie der Prüfung des Auditberichts und anschließende Zertifizierung durch eine akkreditierte Zertifizierungsstelle.

Hier erfahren Sie mehr

Die Zertifizierung erfolgt dabei auf Grundlage der Anforderungen der ISO 27001 inklusive des normativen (verpflichtenden) Anhangs A. Die in diesem Zusammenhang häufig angeführte ISO 27002 enthält im Sinne eines Leitfadens eine umfassende Sammlung von Vorschlägen für das Informationssicherheitsmanagement.

Vor der eigentlichen Zertifizierung sind zahlreiche Maßnahmen rund um Informations- oder IT-Sicherheit umzusetzen. Je nach Unternehmensgröße, Branche, geleisteter Vorarbeit und weiteren Einflussgrößen können diese Maßnahmen viel Zeit und Aufwand beanspruchen.

Entsprechend bietet sich – ohne Anspruch auf Eignung für jeden Einzelfall – folgende Vorgehensweise an:

  • Erste Positionsbestimmung: Prüfung von Prozessen und Dokumentation im Bereich IT-Sicherheit unter Berücksichtigung insbesondere der ISO 27001
  • Kontaktaufnahme mit einer akkreditierten Zertifizierungsstelle
  • Kontaktaufnahme mit einem Auditor, Vorbesprechung, Festlegung eines Auditplans, Durchführung des Audits

Die einzelnen Maßnahmen sind je nach individueller Anforderung umzusetzen oder zu ergänzen. Einen ersten Einblick bieten die nachfolgenden 14 normativen Themen:

  1. Informationssicherheitsrichtlinien (Erstellung, regelmäßige Überprüfung)
  2. Organisation der Informationssicherheit (Rollen, Verantwortlichkeiten, Aufgabentrennung)
  3. Personalsicherheit (Arbeitsverträge, Schulung, Sensibilisierung)
  4. Verwaltung der Werte (Inventar, Zuständigkeiten)
  5. Zugangssteuerung (Benutzerverwaltung, Zugangsrechte)
  6. Kryptographie (Schlüsselverwaltung)
  7. Physische und umgebungsbezogene Sicherheit (Zutrittssteuerung, Bildschirmsperren)
  8. Betriebssicherheit (Schutz vor Schadsoftware, Datensicherung)
  9. Kommunikationssicherheit (Nachrichtenübermittlung, Sicherheit von Netzwerkdiensten)
  10. Anschaffung, Entwicklung und Instandhaltung
  11. Lieferantenbeziehungen (Vereinbarungen, Lieferkette)
  12. Handhabung von Sicherheitsvorfällen (Verantwortlichkeiten, Reaktion)
  13. Business Continuity Management (Redundanzen)
  14. Compliance (gesetzliche Anforderungen)

Zudem werden Maßnahmenziele (control objectives) abgeleitet, die im Anhang A der ISO/IEC 27001 aufgeführt werden. Die entsprechenden Hinweise und Beispiele finden sich in der ISO/IEC 27002.

BUNDESDATENSCHUTZGESETZ

Der Umgang mit personenbezogenen Daten

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden. Aufgrund der EU-weiten Neuregelung des Datenschutzes durch die seit Mai 2018 verbindliche EU-Datenschutzgrundverordnung musste eine neue Rechtsgrundlage in Deutschland geschaffen werden.

Hier erfahren Sie mehr

Der sachliche Anwendungsbereich liegt in der Datenerhebung, -verarbeitung und -nutzung. Ein Erheben im Sinne des Gesetzes liegt schon bei der bloßen Beschaffung von Daten über natürliche Personen beim Betroffenen oder bei Dritten vor. Verarbeitung ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten. Unter Nutzen ist jede Verwendung personenbezogener Daten außerhalb der Verarbeitung zu verstehen. Auch wird im BDSG geregelt, welche Rechte und Pflichten die Aufsichtsbehörden für den Datenschutz haben.

Deutsche Firmen haben grundsätzlich immer deutsches Datenschutzrecht einzuhalten. Erhebt, verarbeitet oder nutzt eine im EU -Ausland sitzende verantwortliche Stelle personenbezogene Daten in Deutschland, so ist das Datenschutzrecht anzuwenden, das im Sitzland gilt („Sitzprinzip“ – § 1 Abs. 5, S. 1 HS. 1 BDSG). Folglich ist auf den Datenumgang einer in Italien sitzenden Firma grundsätzlich italienisches Datenschutzrecht anzuwenden. Eine Ausnahme gilt, wenn der Datenumgang durch eine Niederlassung im Inland (Deutschland) erfolgt. In diesem Fall ist wiederum deutsches Datenschutzrecht anzuwenden („Territorialprinzip“ – § 1 Abs. 5, S. 1 HS. 2 BDSG).

Erhebt, verarbeitet oder nutzt eine weder in Deutschland noch im EU-Raum sitzende verantwortliche Stelle personenbezogene Daten in Deutschland, so ist grundsätzlich deutsches Datenschutzrecht anzuwenden (§ 1 Abs. 5, S. 2 BDSG)

Jede nicht-öffentliche Stelle (z.B. ein Unternehmen), in der 20 oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung beschäftigt sind, benötigt einen Datenschutzbeauftragten. Die Pflichten der verantwortlichen (verarbeitenden) Stelle fallen immer der Geschäftsführung zu. Unabhängig von der Bestellung eines Datenschutzbeauftragten umfassen sie unter anderem:

  • Gewährung der Betroffenenrechte (Benachrichtigung, Auskunft, Korrektur, Sperrung, Löschung)
  • transparente und dokumentierte EDV (Verfahrensverzeichnis)
  • Schutz der EDV und der Daten im Sinne der IT-Sicherheit (§9 BDSG nebst Anhang)
  • Nachvollziehbarkeit von Zugriffen, Änderungen und Weitergaben an Dritte

Geregelt wird der Umgang mit personenbezogenen Daten. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise: Telefonnummer, E-Mail-Adresse, IP-Adresse beim Surfen, Personalnummer). Nicht in den Geltungsbereich des BDSG fallen Daten über juristische Personen (GmbH, AG usw.). Entgegen dem eindeutigen Wortlaut haben einzelne Verwaltungsgerichte Datenschutzgesetze auch auf juristische Personen angewandt. Besonders geschützt werden so genannte besondere Arten von Daten gemäß §3 Abs. 9 BDSG, nämlich Daten über ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit und das Sexualleben. Nach § 4d Abs. 5 BDSG unterliegen diese Daten der Vorabkontrolle.