Überblick über das IT-Sicherheitsgesetz

15:45 15 Juni in IT-Sicherheitsgesetz OnePage

Das IT-Sicherheitsgesetz (IT-SicherheitsG) ist am 25.07.2015 in Kraft getreten. Als sog. Artikelgesetz dient es lediglich der Änderung mehrerer anderer Gesetze und hat konkret zu Änderungen an insgesamt acht Gesetzen geführt. Insbesondere ist hier das Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG) zu nennen, für das unter anderem Regelungen für die sog. Kritischen Infrastrukturen (KRITIS) geschaffen wurden sowie das Atomgesetz (AtomG), das Energiewirtschaftsgesetz (EnWG), das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) für die gesetzliche Änderungen vorgenommen wurden.

Das IT-SicherheitsG zielt darauf ab, den Grundproblemen im Bereich von IT- bzw. Cybersicherheit zu begegnen und einen rechtlichen Rahmen für die Gewährleistung von Sicherheit im IT- bzw. Cyber-Sektor zu schaffen. Dabei sollen insbesondere die IT-Sicherheit bei Unternehmen verbessert werden sowie Bürger und Bürgerinnen vermehrten Schutz im Internet erfahren. Gleichzeitig ist die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamts (BKA) gestärkt worden. Dementsprechend lässt sich konstatieren, dass das IT-SicherheitsG als Versuch des Staats gewertet werden kann, das erstmals im Urteil des BVerfG vom 27.02.2008 angesprochene „Grundrecht auf Integrität der IT-Systeme“ und der in diesem Zusammenhang angenommenen Schutzpflicht des Staates, gerecht zu werden.

Durch das BSIG werden sog. Betreiber Kritischer Infrastrukturen verpflichtet einen Mindeststandard an IT-Sicherheit einzuhalten und dem BSI darüber hinaus IT-Sicherheitsvorfälle zu melden. Das BSIG enthält allerdings keine konkreten Angaben darüber, wie die Einordnung als KRITIS zu erfolgen hat. § 2 Abs. 10 BSIG definiert KRITIS insoweit nur abstrakt, als Einrichtungen, Anlagen oder Teile davon die zum einen den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und zum anderen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die konkrete Festlegung, wer vom Anwendungsbereich des § 2 Abs. 10 BSIG als KRITIS erfasst wird, überlasst der Gesetzgeber dem Bundesministerium des Inneren (BMI), indem dieses gem. § 10 Abs. 1 BSIG zu diesem Zweck zum Erlass von Rechtsverordnungen ermächtigt wird.

Die Pflichten aus dem BSIG betreffen originär zwar KRITIS, allerdings können auch Dritte derivativ zur Erfüllung der Pflichten verpflichtet werden. Dies ist der Fall, wenn Betreiber von KRITIS sich im Rahmen ihrer Tätigkeit Dritter bedienen. In diesem Fall verbleibt die Verantwortung für die Erfüllung der Pflichten aus dem BSIG weiterhin bei den Betreibern von KRITIS, so dass diese regelmäßig Dritte darauf verpflichten werden, dass diese ebenfalls die Anforderungen des BSIG erfüllen.

Die o.g. Sicherheitspflichten hat der Gesetzgeber in § 8a BSIG verankert. Danach sind Betreiber von KRITIS gem. Abs. 1 S.1 BSIG verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS maßgeblich sind. Dabei ist nach Abs. 1 S. 2 BSIG der „Stand der Technik“ einzuhalten.

Das BSIG verlangt darüber hinaus in § 8a Abs. 3 BSIG, dass die Erfüllung der Anforderungen des Abs. 1 mindestens alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgt. Alternativ besteht für die Betreiber von KRITIS nach § 8a Abs. 2 BSIG auch die Möglichkeit die Erfüllung der Anforderungen des § 8a Abs. 1 BSIG durch sog. „branchenspezifische Sicherheitsstandards“.

Die Vorgaben zu den Sicherheitspflichten werden darüber hinaus durch die Meldepflicht von „Störungen“ ergänzt. § 8b Abs. 4 BSIG sieht diesbezüglich vor, dass Betreiber von KRITIS erhebliche Störungen hinsichtlich der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-System, Komponenten oder Prozesse, unverzüglich an das BSI zu melden haben. Die Meldepflicht wird jedoch allerdings nur dann angenommen, wenn die Störungen zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen KRITIS führen können oder geführt haben. Aus § 8b Abs. 4 S. 3 BSIG geht darüber hinaus hervor, dass Meldungen nur in den Fällen anonymisiert erfolgen dürfen, in denen ein Ausfall bzw. eine Beeinträchtigung der Funktionsfähigkeit der KRITIS nicht stattgefunden hat.

Schließlich regelt der Gesetzgeber in § 14 BSIG, wie im Falle von Zuwiderhandlungen gegen die vorgenannten Pflichten zu verfahren ist, indem er Bußgelder zwischen 50.000-100.000 € vorsieht.

Zusammengefasst kristallisieren sich die folgenden Schutzziele des IT-SicherheitsG heraus:
  • Verfügbarkeit
    Die Verfügbarkeit von IT-Systemen und Komponenten ist vorhanden, wenn diese stets gemäß ihres Zwecks und Funktionsumfangs genutzt werden können.
  • Integrität
    Die Integrität bezieht sich insbesondere auf die Daten. Sie ist vorhanden, wenn gewährleistet ist, dass die gesendeten Daten den Empfänger unverändert und vollständig erreichen.
  • Vertraulichkeit
    Die Vertraulichkeit ist gegeben, wenn die schützenswerten Daten nur in zulässiger Art und Weise ausschließlich an die Befugten verfügbar gemacht werden.
  • Authentizität
    Die Authentizität ist vorhanden, wenn die eindeutige Identität der Kommunikationspartner sowie der kommunizierenden Komponenten sichergestellt ist.
WPNO – Unsere Leistungen für Sie

Werden Sie unmittelbar oder mittelbar vom Anwendungsbereich des IT-SicherheitsG erfasst? Haben Sie bereits eine Analyse des IST-Zustandes Ihres Unternehmens vollzogen und die notwendigen Maßnahmen eingeleitet um den Anforderungen des IT-SicherheitsG gerecht zu werden?

Wie bewertet und behandelt Ihre Unternehmensführung und der Aufsichtsrat das Thema Cyber-Security in Ihrem Unternehmen und welche Pflichten obliegen diesen Führungsorganen?

Das Engagement von Unternehmensführung und Aufsichtsrat stellt den entscheidenden Faktor für ein wirksames und effektives Cyber-Security-Management dar.

Der Unternehmensführung obliegt die Aufgabe, ein umfassendes Cyber-Security-Programm zu installieren und organisatorisch umzusetzen.

Ihr Unternehmen muss auf potentielle Cyber-Angriffe vorbereitet sein, denn seit Jahren steigt die Anzahl weltweiter Cyber-Angriffe auf IT-Systeme, IT-Anwendungen und ganze IT-Infrastrukturen. Der innovationsfreudige Mittelstand in Deutschland und die hiesigen Global Player stellen lohnenswerte Ziele für Cyber-Angreifer dar.

Laut dem Studienbericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter“ des Branchenverbandes Bitkom war jedes zweite Unternehmen in Deutschland in den vergangenen zwei Jahren von einem Cyber-Angriff betroffen. Cyber-Angriffe verursachen pro Jahr in Deutschland einen geschätzten Gesamtschaden in Höhe von 51 Milliarden Euro. Schäden verwirklichen sich dabei in Gestalt von manipulierten oder sabotierten Produktionsanlagen, wie auch in einbrechenden Umsätzen als Folge von Reputations- und Vertrauensverlusten.

Komplexer werdende Angriffstechniken unter Ausnutzung innovativer Technologien führen zu dramatischen Veränderungen der klassischen Risikoszenarien von Unternehmen.

Dabei vergrößert sich die Angriffsfläche von Unternehmen mit jedem neuen digitalisierten Geschäftsprozess und jeder neuen Schnittstelle zu Geschäftspartnern.

Bis vor wenigen Jahren war Informationssicherheit als IT-Risiko lediglich ein Thema für Sicherheitsexperten. In Anbetracht steigender Risiken, Opfer eines Cyber-Angriffs zu werden und dem damit einhergehenden möglichen Verlust existenzieller Assets für Ihr Unternehmen gehört Informationssicherheit zwischenzeitlich zu den primären Unternehmensrisiken. Entsprechend ist das Thema auf höchster Führungsebene anzusiedeln und sollte durch das Management gelebt werden.

Ihr Unternehmen muss Cyber-Attacken effektiv begegnen und dabei gleichzeitig den regulatorischen Anforderungen sowie geschäftlichen Entwicklungen Rechnung tragen können.

Die Unternehmensführung steht darüber hinaus in der fortlaufenden Pflicht, implementierte und umgesetzte Maßnahmen für Cyber-Sicherheit auf ihre Aktualität, Relevanz und Effektivität hin zu prüfen.

In Anbetracht der zentralen Rolle des Aufsichtsrats bei der Überwachung der Aktivitäten der Unternehmensführung müssen vom Aufsichtsrat klare Erwartungen an diese kommuniziert werden. Der Aufsichtsrat muss sich einen Überblick verschaffen, ob die Unternehmensführung adäquate Mittel und Ressourcen und ein ausreichendes Budget für Cyber-Security-Maßnahmen bereitstellt.

Aufsichtsräte werden sich zukünftig intensiver mit Aspekten der Cyber-Security auseinandersetzen müssen, um den steigenden Anforderungen an sie gerecht zu werden und eine nachhaltige Unternehmensentwicklung sicherzustellen.

Voraussetzung für einen effektiven Schutz ist darüber hinaus die umfassende und kontinuierliche Kommunikation über Verstöße und Risiken in der Informationssicherheit an die Unternehmensführung und den Aufsichtsrat.

Der Gesetzgeber und die Aufsichtsbehörden adressieren das Thema Cyber-Security zunehmend als Compliance-Aufgabe, so dass Unternehmensführungen und Aufsichtsräten entsprechende Informationspflichten obliegen.

Stellen Unternehmensführung oder Aufsichtsrat fest, dass im eigenen Unternehmen Know-how Engpässe in den Bereichen Cyber Risk Management oder Security Governance bestehen, empfiehlt sich dringend, die Hinzuziehung von externer Expertise.

WPNO berät Sie in allen Fragen der IT-Sicherheit und verfügt über fundierte Projekterfahrung in „Incident Response“ Organisationen. Profitieren Sie im Rahmen unserer forensischen Prüfung und Beratung gleichermaßen von der Expertise unserer Wirtschaftsprüfer, Steuerberater, Rechtsanwälte und IT- und Datenschutz-Spezialisten. Gleichermaßen stehen Ihnen auch unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte zur Verfügung.

WPNO begleitet und vertritt Sie bundesweit vor sämtlichen Gerichten in allen Fragen rund um das IT-Sicherheitsgesetz. Gemäß §§ 15, 17 WPO sind wir als Wirtschaftsprüfer öffentlich bestellt und vereidigt. Aufgrund Ihres Berufseids dürfen Wirtschaftsprüfer auch bundesweit als öffentlich bestellte Sachverständige auftreten. Ferner sind Sie auch berechtigt Aufträge als Gutachter in Schiedsverfahren anzunehmen. Gem. § 2 Abs. 3 Nr. 1 WPO stellt die Wahrnehmung einer Gutachter- oder Sachverständigentätigkeit einen klassischen Teil des Berufsbildes eines Wirtschaftsprüfers dar, soweit es sich um den Bereich der wirtschaftlichen Betriebsführung handelt. Dieser weit gefasste Bereich umfasst dabei u.a. die Unternehmensbewertung oder die Tätigkeit als Gerichtsgutachter bzw. -sachverständiger. Der Wirtschaftsprüfer hat durch sein staatliches Berufsexamen nachgewiesen, dass er spezielle Kenntnis im Bereich der Unternehmensbewertung besitzt, und erfüllt damit insbesondere auch die Anforderungen, die die Industrie- und Handelskammern für die Anerkennung als Sachverständiger bzw. Gutachter auf diesem Gebiet verlangen.

Im Rahmen von IT-Sicherheitsmaßnahmen in Unternehmen sollte im Wege einer Schutzbedarfsanalyse immer eine Abwägung aller Faktoren im konkreten Einzelfall erfolgen. Hierbei ist zu prüfen, welche Daten mit welchem Aufwand und welchen Kosten zu schützen sind und welche Schäden und Risiken es zu vermeiden gilt. Anhand dieser Abwägung bestimmt sich auch die technische und organisatorische Infrastruktur der zu treffenden Sicherheitsmaßnahmen.

WPNO prüft im Rahmen seiner Beratung über die unmittelbar im Zusammenhang mit dem IT-Sicherheitsgesetz stehenden Punkte hinaus auch gezielt die Berührungspunkte zu europäischen Entwicklungen in Form der Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL) oder der europäischen Datenschutzgrundverordnung (DSGVO). Gleichermaßen zeigen wir im Rahmen unserer Beratung auch Möglichkeiten auf, die im Zusammenhang mit einer DIN ISO/IEC 27001-2:2015 Zertifizierung auf Basis von BSI IT-Grundschutz (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), der Einrichtung von Compliance-Management- und Datenschutzmanagement-Systemen sowie dem Erhalt von Wirtschaftsprüfertestaten (z.B. IDW PS 980, IDW EPS 981, IDW EPS 982, IDW PS 951 n.F. und IDW PS 330) stehen. Profitieren Sie insbesondere von unserer langjährigen Expertise im IT-Bereich insbesondere Mobile Security.

Einzigartig ist, dass ein Großteil unser Beratung dort anfängt, wo die klassische Beratung Ihr Ende erreicht. WPNO hat die Zeichen der Zeit erkannt, und differenziert sich von seinen Mitbewerbern dadurch, dass wir neben der Beratung auch in der Lage sind unsere Mandanten mit den notwendigen Tools auszustatten, die notwendig sind, um die deutlich gestiegenen Anforderungen im IT-Sicherheits-, aber auch Datenschutzsektor zu erfüllen. Verpassen Sie nicht den Zeitpunkt, frühzeitig die Weichen für die zukunftsorientierte Ausrichtung Ihres Unternehmens zu setzen.

Wir als Wirtschaftsprüfer verfügen über detailliertes Wissen der Unternehmensprozesse und kennen die komplexen regulatorischen Anforderungen an Unternehmen im Hinblick auf Informationssicherheit. Wirtschaftsprüfer sind in der Lage, Risiken frühzeitig zu identifizieren und Potentiale für die Optimierung von Prozessen und Systemen zu erkennen.

Wirtschaftsprüfer sind fachkundige Unterstützer Ihrer Unternehmensführung und Ihres Aufsichtsrats in Fragen der Cyber-Security, welche eine der komplexesten Herausforderungen für Unternehmen in der digitalen Ära darstellt.

Als Mitglied der Allianz für Cyber-Sicherheit des BSI erhalten wir darüber hinaus von dort monatliche Berichte und können unsere Mandanten frühzeitig über aktuelle Risiken und Gefahren aufklären eine entsprechende Verwirklichung verhindern. WPNO begleitet das IT-SicherheitsG bereits seit dem ersten Gesetzentwurf und hat seitdem immer wieder über dessen Entwicklung und Änderungen berichtet.

WPNO und sein über Jahre gewachsenes und erfolgreiches Team aus Wirtschaftsprüfern, Rechtsanwälten Steuerberatern, IT- und Datenschutz-Spezialisten, unseren ISO 27001 Lead-Auditoren sowie CISA-, CISM- CGEIT-, CRISC-Fachkräften steht Ihnen gerne für ein Erstgespräch zur Verfügung.

Verwendungshinweis

WPNO weist ausdrücklich darauf hin, dass die Beiträge auf dieser Seite eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall nicht ersetzen.

Stand: Januar 2017



?
Telefon: 0800 – 783 9766
 0800 – RUF WPNO

Mail: info@wpno.com
error: Content is protected !!