Mehr Pflichten für Betreiber kritischer Infrastrukturen

Neues IT Sicherheitsgesetz soll erhöhten Schutz bieten

Das am 27. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) soll die Betreiber sogenannter Kritischer Infrastrukturen, wie Energie- oder Telekommunikationsnetze verpflichten, Ihre Netze künftig besser vor Hacker-Angriffen zu schützen. Damit bekommt das auf der Grundlage eines 2005 gemeinsam mit Sicherheitsexperten aus Wirtschaft, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und Bundeskriminalamt erstellte Basisschutzkonzept jetzt einen gesetzlichen Rahmen.

Blog_GPP_Sept_15Neben der obligatorischen Meldung von IT-Sicherheitsvorfällen werden mit dem Sicherheitsgesetz branchenweit auch Mindeststandards für die IT-Sicherheit bei den Betreibern von gefährdeten IT-Infrastrukturen festgelegt. Das bisher auf Freiwilligkeit beruhende Verfahren zur Meldung von IT-Sicherheitsvorfällen der Wirtschaft Allianz für Cyber-Sicherheit in Deutschland ist damit jetzt gesetzlich vorgeschrieben. Ziel ist es, dass die Branchen künftig selbst solche Standards entwickeln, die dann vom BIS genehmigt werden müssen. Danach sollen die Unternehmen alle zwei Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Wahrung der öffentlichen Sicherheit

Kritische Infrastrukturen sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder ihre Beeinträchtigung würde zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen. Dennoch beantwortet das IT-Sicherheitsgesetz noch nicht die Frage, welche Unternehmen konkret als Kritische Infrastrukturen im Sinne des Gesetzes gelten. Definiert das Gesetz die Begrifflichkeit momentan noch eher abstrakt, sollen jedoch in absehbarer Zeit für jede relevante Branche aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, eigene Rechtsverordnungen zur Klärung dieser Fragestellung erstellt werden.

Erweiterte Zuständigkeiten

Grundsätzlich gilt, dass laut Gesetz die Zuständigkeit des BKA auf bestimmte Cyberdelikte ausgeweitet wird, für die bislang noch die Länder verantwortlich sind. Dafür wird die Zuständigkeit des BKA für die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung über die bereits bestehende Zuständigkeit für Straftaten nach § 303b StGB (Computersabotage) hinaus ausgedehnt. Auch für den unmittelbaren Schutz von Bürgern sind Verschärfungen geplant. So sollen Internet- oder E-Mail-Anbieter beispielsweise verpflichtet werden, ihre Nutzer zu informieren, falls sie Störungen in deren Accounts feststellen. Telekommunikationsanbieter werden auch angewiesen, Nutzer auf Sicherheitsprobleme in deren Geräten hinzuweisen, wenn diese z.B. entsprechende Mailware-Kommunikationsverbindungen identifizieren.

Besserer Schutz im Fokus

Der noch nicht lange zurückliegende Cyberangriff auf den Deutschen Bundestag zeigt deutlich, dass auch öffentliche Einrichtungen und Unternehmen in Deutschland vermehrt Opfer solcher Attacken werden. Durch Trojaner, Viren und andere Schadsoftware wird die IT-Infrastruktur infiltriert, ausgespäht oder manipuliert. Auf diese Weise können Cyberangriffe insbesondere auch Anlagen und Systeme, die für die Allgemeinheit von erheblicher Bedeutung sind, empfindlich beeinträchtigen, wie die Stromnetze, das Gesundheitssystem oder die Lebensmittelversorgung. Mit dem neu geschaffenen IT-Sicherheitsgesetz möchte die Bundesregierung und der Bundestag solch kritische Infrastrukturen besser als bisher vor den Gefahren von Cyberangriffen schützen.

Rüdiger  Lehmann     Foto: gratisography

Mehr Infos unter: http://www.bmi.bund.de/DE/Themen/Bevoelkerungsschutz

Gerne unterstützen auch wir von der GPP-Service Sie in allen Fragen zur IT-Sicherheit. Kontaktieren Sie uns hier:

 

Advertisements