Digitalisierung und ihre Auswirkungen: Das IT-Sicherheitsgesetz

Dass die Digitalisierung in den Unternehmen immer weiter voranschreitet, haben wir bereits im ersten Teil unserer Wissensserie beleuchtet. Vor allem für Unternehmen und Organisationen mit so genannten Kritischen Infrastrukturen (KRITIS) gehen mit dem digitalen Wandel völlig neue Sicherheitsrisiken einher.

Als Teil der “Digitalen Agenda” des Gesetzgebers sieht das IT-Sicherheitsgesetz vor, dass Unternehmen sich dazu verpflichten, sensible Infrastrukturen zu schützen und die Verfügbarkeit dieser zu gewährleisten. Grundlage hierfür ist die verpflichtende Einführung von technischen und organisatorischen Mindestanforderungen bzw. -maßnahmen im Unternehmen. Die Pflicht, jeden Cyberangriff sofort zu melden, ist ebenfalls Bestandteil des Gesetzes.

Die Bundesregierung hat daher im Juli 2015 das IT-Sicherheitsgesetz verabschiedet.

Das IT-Sicherheitsgesetz ist ein so genanntes Artikelgesetz. Das heißt, es ändert oder verschärft bereits bestehende Gesetze. Zum Beispiel §11 des Gesetzes über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz — EnWG) – oder §10 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). Dieser Paragraph definiert den Schwellenwert, ab wann ein Unternehmen ein KRITIS-Unternehmen ist.

Durch das IT-Sicherheitsgesetz wurden eine Reihe weiterer Gesetze geändert, wie z.B. das Atomgesetz (AtG), das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG) oder das Bundeskriminalamtgesetz (BKAG). Die weitreichendsten Änderungen fanden aber im BSIG und im EnWG statt.

Das BSI Gesetz und die KritisV

IT Sicherheit in Unternehmen

Das IT-Sicherheitsgesetz ist gerade für Energieversorger hochrelevant.

Im §10 des BSI-Gesetzes ist definiert, welche Wirtschaftssektoren zu den KRITIS-Unternehmen gezählt werden. Dieses sind unter anderem z. B. Krankenhäuser, Unternehmen des Finanz- und Versicherungswesens, Verkehrsunternehmen, Telekommunikationsunternehmen und vor allem Energieversorgungsunternehmen (EVU).

Diese werden durch Schwellenwerte in der BSI-KritisV festgelegt. Es wird geschätzt, dass in Deutschland ca. 600 Unternehmen aller Sektoren in die Kategorie dieser KRITIS Unternehmen fallen. Hier hätte zum Beispiel ein Hackerangriff besonders gravierende Auswirkungen auf die gesamte Bevölkerung.

In §8 ist für diese Unternehmen unter anderem eine Meldepflicht an das BSI für sicherheitskritische Vorfälle definiert

Das EnWG

Bis zum 31. Januar 2018 müssen alle EVU nach dem §11 des EnWG daher einem speziell für ihre IT-Infrastrukturen entworfenen Qualitätsmanagementsystem – dem Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 – entsprechen.

Diese müssen wie die KRITIS-Unternehmen sicherheitsrelevante Vorfälle melden. Jedoch nicht an das BSI, sondern an die für Energieversorger zuständige Bundesnetzagentur.

Das Informationssicherheitsmanagementsystem (ISMS)

Die mit der Gesetzesverabschiedung einhergehende Einführung eines Informationssicherheitsmanagementsystems (ISMS) ist gerade für Energieversorger, also Stadtwerke, Kraftwerke usw. obligatorisch. Bis zum 31. Januar 2018 müssen diese Unternehmen und Organisationen dieses System in ihre Abläufe integriert haben. Das bedeutet, alle EVU sind in der Pflicht, das ISMS gemäß DIN/IEC 27001 einzuführen und sich durch ein Audit entsprechend zertifizieren und regelmäßig rezertifizieren zu lassen.

Grundsätzlich gehen der erfolgreichen Zertifizierung gemäß DIN/IEC 27001 eines EVU folgende Arbeitsschritte voraus:

  • Erstellen des Geltungsbereichs und eines Netzstrukturplans,
  • Ermittlung des Schutzbedarfs des Unternehmens und seiner Infrastrukturen,
  • Ernennung eines Informations-Sicherheitsbeauftragten innerhalb des Unternehmens,
  • Ableitung notwendiger Maßnahmen zur Sicherung der Infrastrukturen,
  • verpflichtende Umsetzungsfrist für Energieversorger innerhalb von 2 Jahren bis zum 31. Januar 2018

Für EVU gelten nicht nur diese sondern eine Reihe weiterer Sondervorschriften. Um dem ISMS zu entsprechen und eine Zertifizierung zu erhalten, müssen diese nämlich auch folgende Forderungen des IT-Sicherheitskatalogs der Bundesnetzagentur erfüllen:

  • Schutz der IT-Systeme und Komponenten, die der Netzsteuerung direkt dienen oder unmittelbaren Einfluss nehmen.
  • Schutzbedürftige Systeme des Versorgungsnetzes müssen in einem Netzstrukturplan erfasst werden.
  • Es muss eine Risikoanalyse durchgeführt werden.
  • Erfüllen der Anforderungen aus der DIN ISO 27019.

Der IT-Sicherheitskatalog definiert also die Mindeststandards an die sich jedes EVU halten muss, um die DIN/IEC 27001-Zertifizierung zu erhalten.

Wie man die Mindeststandards der gesetzlichen Sicherheitsbestimmungen einhalten kann

Mit der Verabschiedung des IT-Sicherheitsgesetzes und der damit einhergehenden Zertifizierungspflicht sind KRITIS-Unternehmen verpflichtet, die Sicherheitsbestimmungen für die IT-Infrastrukturen bis spätestens 31. Januar 2018 umzusetzen. Viele EVU entsprechen bereits jetzt den hohen Standards, auch dank flankierender Richtlinien, die sich zum Beispiel aus dem Telemediengesetz, dem Bundesdatenschutzgesetz oder dem Handelsgesetzbuch (HGB) ergeben. Dazu gehören die Aufbewahrungs- und Löschpflichten, die Pflicht der Unveränderbarkeit von Daten sowie der Schutz personenbezogener Daten.

Ist die IT-Struktur seitens des EVU bereits im Vorfeld gepflegt und dokumentiert worden, stellt die Einführung der neuen Standards keine sehr große Hürde dar. Von Vorteil ist die neue Regelung allemal. Das bestätigt auch Herr Dambach, Informationssicherheitsbeauftragter der Stadtwerke Speyer GmbH:

Mit der Einführung des ISMS haben wir weitere sinnvolle Strukturen geschaffen. So sorgt das regelmäßige Reporting gegenüber dem Management für mehr Transparenz. In Konsequenz sorgt es aber auch für einen deutlich größeren Zwang zur Dokumentation von Prozessen und Verantwortlichkeiten. Gerade die Führungsebene ist hierdurch nochmals deutlich sensibler für wichtige sicherheitsbezogene Themen geworden.

Ein erster wichtiger Schritt, um das ISMS einzuführen, ist das Anlegen eines Netzstrukturplans, um alle, besonders aber die schutzbedürftigen Systeme des IT- und Versorgungsnetzes zu dokumentieren. Die Dokumentation des IT-Netzes kann u.a. mithilfe des Pathfinders erstellt und gepflegt werden.

“Die Einführung von qualifizierten Tools wie Pathfinder schafft deutliche Effizienzvorteile,” berichtet Herr Wagner, verantwortlich für das Netzwerk-Management der Stadtwerke Speyer. “Es lässt sich hervorragend in die bestehenden und neuen Prozesse integrieren, steigert die Qualität der Dokumentationen und Reports und dank der Automatisierung sparen wir Arbeitsschritte ein.”

Für die erfolgreiche Zertifizierung stehen eine Reihe qualifizierter Beratungsunternehmen zur Seite, welche strukturiert und bedürfnisgerecht auf dem Weg zum Audit begleiten. Nach erfolgreicher Zertifizierung findet jährlich eine Überprüfungs-Auditierung der Prozesse statt. Diese Auditierung sowie die Rezertifizierung nach drei Jahren werden von verschiedenen Prüfgesellschaften angeboten, welche von der Deutschen Akkreditierungsstelle (DAkkS) benannt wurden.


Wir bedanken uns bei Herrn Dambach und Herrn Wagner von den Stadtwerken Speyer sowie Herrn Heim vom Beratungsunternehmen procilon für die vielen hilfreichen Hinweise und den Input.

Weitere Quellen:
http://www.computerwoche.de/a/energieversorger-muessen-aufruesten,3214813
https://www.procilon.de/kernkompetenzen/themen/din-iso-iec-27001