Digitalization

Betreiber kritischer Infrastrukturen (KRITIS) rücken zunehmend in den Fokus, wenn es um Fragen der allgemeinen Versorgungssicherheit in Deutschland geht. Denn Angriffe auf die Computersysteme oder die IT-Infrastruktur auf solche Unternehmen könnten verheerende Auswirkungen auf die Stabilität der Gesellschaft haben.

Eine Folge dieser Erkenntnis wurde spätestens 2015 mit dem Inkrafttreten des ersten IT-Sicherheitsgesetzes spürbar. KRITIS-Betreiber sind seitdem aufgefordert, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre die Umsetzung angemessener organisatorischer und technischer Vorkehrungen nachzuweisen. Vorkehrungen, die mögliche Störungen der IT-Systeme, einzelner Komponenten oder Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind, verhindern. Gefahrenpotenziale sollen hierbei zeitnah erfasst und präventiv beseitigt werden.

Doch der Gesetzgeber hat weiteren Nachbesserungsbedarf erkannt. Seit dem 27. März 2019 liegt der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor, das die Befugnisse des BSI erweitert, die Kategorien der KRITIS-Betreiber ergänzt und zusätzlich „Infrastrukturen im besonderen öffentlichen Interesse“ benennt, die analog zu klassischen KRITIS-Betreibern ihre Sicherheit auf den Prüfstand stellen müssen.

 

Den „Stand der Technik“ umsetzen

Dreh- und Angelpunkt ist der Paragraf 8a des BSI-Gesetzes (BSIG). Darin wird gefordert, dass Betreiber Kritischer Infrastrukturen ihre IT-Sicherheit nach dem „Stand der Technik“ umsetzen müssen. Was jedoch ist der Stand der Technik? Was genau verändert sich für die einzelnen Unternehmen?

Hilfe bei der korrekten Erstellung des Prüfnachweises bieten IT-Sicherheitsaudits von Auditoren, die zuvor Prüfverfahrens-Kompetenz für den Paragraf 8a (3) BSIG erworben haben. TÜV Hessen bietet im Rahmen seiner TÜV KNOW-HOW CLUB-Fachveranstaltungen Schulungsseminare an, um IT-Spezialisten und Managementbeauftragten von KRITIS-Betreibern, die diese Prüfkompetenz erwerben wollen, das nötige Rüstzeug an die Hand zu geben. „Unsere Veranstaltungen richten sich auch an KRITIS-Betreiber, die vorab wissen möchten, was die Überprüfung nach den Vorgaben des Paragrafen 8a ganz konkret für ihr Unternehmen bedeutet“, erklärt Elmar Stark, Teamleiter Informationssicherheit bei TÜV Hessen. „TÜV Hessen ist durch das BSI zugelassener Schulungsanbieter. Mit unseren Fachveranstaltungen verfolgen wir das Ziel, den Prüfern die Kompetenz zu vermitteln, langfristig die Regulierungsdichte der Gesetzgebung ordnen zu können und damit den KRITIS-Betreibern zu helfen, die aktuellen Sicherheitsstandards umzusetzen.“

 

„Eine Mängelliste ist die Grundlage für starke Gegenmaßnahmen“

Elmar Stark versteht das Ineinandergreifen von Schulung, Prüfverfahrenskompetenz bei den Auditoren und den Audits in den KRITIS-Unternehmen als ganzheitlichen Ansatz, um das Sicherheitsniveau auf allen Ebenen zu erhöhen. „Wenn ein Audit bei Betreibern kritischer Infrastrukturen am Ende eine längere ‚Mängelliste‘ ans Licht bringt, ist das weit weniger schlimm als würden diese Mängel von Angreifern genutzt.“ Denn eines ist auch klar. Oft müssen Schwachstellen erst einmal erkannt werden, bevor es an die Beseitigung gehen kann.

„Nichts zu unternehmen und das Thema Sicherheit auszusitzen ist für alle Beteiligen die schlechteste Option.“ Zumal sich das BSI das Recht vorbehält, künftig noch stärker Einfluss auf KRITIS-Betreiber zu nehmen, wenn diese ihrer Vorsorgepflicht nicht nachkommen. Lag der Strafrahmen für Verstöße gegen das erste IT-Sicherheitsgesetz noch bei maximal 100 000 Euro, sind künftig Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des gesamten jährlichen Unternehmensumsatzes möglich. „IT-Sicherheit zu gewährleisten bedeutet auch, gemeinsam in einem Boot zu sitzen“, sagt Elmar Stark. „Unsere Fachveranstaltungen für Auditoren und KRITIS-Betreiber helfen, das Ruder selbst in die Hand zu nehmen.“


(Autor: Sebastian Philipp)