Unternehmenssicherheit 2018 – Das IT-Sicherheitsgesetz

Spätestens Ende November ist Unternehmen und Verbrauchern vor Augen geführt worden, wie abhängig Gesellschaft und Wirtschaft von IT- und Telekommunikationstechnik sind. Durch den Hackerangriff auf Router, die von der Deutschen Telekom an DSL-Anschlüssen eingesetzt wurden, kam es zu einem bundesweiten Ausfall von ca. 900.000 Internetanschlüssen. Gleichzeitig verdeutlicht dieser Fall, dass keine Sicherheitskette stärker ist, als ihr schwächstes Glied. Denn im konkreten Fall war nicht das Netz der Telekom die Schwachstelle, sondern die zugelieferten Router eines Drittanbieters. In diesem Zusammenhang hat die Bundesregierung neue Maßnahmen zum Schutz von IT- und Telekommunikationssystemen angekündigt. Jedoch nimmt die Bundesregierung das Thema Cybersicherheit schon viel länger ernst.

Bereits 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer System (IT-Sicherheitsgesetz) verabschiedet. Ziel des Gesetzes ist die Sicherheit von IT-Systemen und digitalen Infrastrukturen. Anders als der Gesetzestitel vermuten lässt, finden diese Vorschriften nicht nur auf Anbieter von IT- und Telekommunikationssystemen Anwendung. Vielmehr dient das Gesetz dem Schutz von kritischen Infrastrukturen (KRITIS) in den Bereichen:

• Energie
• IT
• Telekommunikation
• Transport
• Verkehr
• Gesundheit
• Wasser
• Ernährung
• Finanz- und Versicherung

Die Sicherstellung der Funktionsfähigkeit dieser Infrastrukturen gehört zur Kernaufgabe eines Staates. Kommt es zu einem Ausfall oder einer Beeinträchtigung, hat dies unvorhersehbare Konsequenzen. Es drohen erhebliche Versorgungsengpässe und die Gefährdung der öffentlichen Sicherheit.

Betreiber von kritischer Infrastrukturen sind nach dem IT-Sicherheitsgesetz verpflichtet, angemessene technische und organisatorische Vorkehrungen zur Vermeidung von IT-Sicherheitsfällen zu treffen, die sich an dem jeweiligen Stand der Technik orientieren. Welche Vorkehrungen dies im Einzelnen sind, wird im Gesetz nicht näher definiert. Vielmehr erfolgt die Konkretisierung in Rechtsverordnungen. Für die Bereiche Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung sind die Anforderungen schon veröffentlicht. Weitere sollen im Jahre 2017 folgen. Betreiber von kritischen Infrastrukturen müssen diese Vorschriften beachten bzw. bis 2018 umsetzen.

Zudem müssen Betreiber kritischer Infrastrukturen alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass die geforderten Sicherheitsvorkehrungen eingehalten worden sind. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.

Zwar richtet sich das IT-Sicherheitsgesetz bzw. die dazugehörigen Verordnungen vom Wortlaut her nur an Betreiber kritischer Infrastrukturen. Dies sind in der Regel Großunternehmen. Daraus folgt aber nicht, dass kleine und mittelständische Unternehmen (KMUs) von den Anforderungen des Gesetzes nicht betroffen sind. Im Gegenteil: Zunächst sollte jedes Unternehmen ein Höchstmaß an Eigeninteresse daran haben, dass es im Betrieb nicht zu IT-Sicherheitsvorfällen kommt. Im harmlosesten Fall führt ein IT-Sicherheitsvorfall zu einem Imageproblem. Im schlimmsten Fall führt ein IT-Sicherheitsvorfall zum Ausfall der unternehmerischen Tätigkeit und hat somit direkte wirtschaftliche Konsequenzen.

Viel wichtiger ist jedoch, dass auch KMUs als Vorlieferanten von Betreibern kritischer Infrastrukturen für IT-Sicherheit verantwortlich sind. Kleine und mittelständische Unternehmen müssen zukünftig damit rechnen, dass ihre jeweiligen Auftraggeber von ihnen umfangreiche Maßnahmen zur IT-Sicherheit fordern, um ihre eigenen Anforderungen an das IT-Sicherheitsgesetz erfüllen zu können.

Auch KMUs haben daher angemessene technische und organisatorische Vorkehrungen zur Vermeidung von IT-Sicherheitsfällen zu treffen. Auch kleine und mittelständische Unternehmen sollten sich daher zeitnah mit den neuen Anforderungen des IT-Sicherheitsgesetzes auseinandersetzen.

Gerne berät unsere IP, Media & Technology Practice Group Ihr Unternehmen bei den gesetzgeberisch notwendigen Maßnahmen der IT-Sicherheit.