Zurück zur Übersicht

Schlagwörter | |

Cybersicherheits-Anforderungen an Kritische Infrastrukturen (KRITIS) im Finanz- und Versicherungswesen

Die IT-Sicherheitslage in Deutschland

Die IT-Sicherheitslage in Deutschland wird zunehmend angespannter. Kaum eine Woche vergeht, in welcher nicht von erfolgreichen Cyberangriffen auf öffentliche Institutionen, Behörden oder privatwirtschaftliche Unternehmen in den Medien berichtet wird. Die Angriffe erfolgen zunehmend zielgerichtet und werden technologisch immer ausgereifter und komplexer. Der durch Cyberangriffe verursachte Schaden wird vom Cyber-Sicherheitsrat, der 2012 in Deutschland von großen Unternehmen mitgegründet wurde, auf jährlich bis zu 50 Milliarden Euro geschätzt [1].

Mit dem Mitte 2015 vom Deutschen Bundestag verabschiedeten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) soll eine signifikante Verbesserung der Sicherheit von IT-Systemen in Deutschland erreicht werden. Insbesondere Betreiber Kritischer Infrastrukturen, zu denen die Finanz- und Versicherungsbranche zählt, sind wegen der weitreichenden gesellschaftlichen Folgen, die ein Ausfall oder eine Beeinträchtigung ihrer Infrastrukturen nach sich ziehen kann und ihrer besonderen Verantwortung für das Gemeinwohl zu verpflichten, ein Mindestniveau an IT-Sicherheit einzuhalten und IT-Sicherheitsvorfälle zu melden.

Kritische Infrastrukturen (KRITIS) – was zählt dazu?

Im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sind Kritische Infrastrukturen definiert als Einrichtungen, Anlagen oder Anlagenteile der folgenden Sektoren:

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung
  • sowie Finanz- und Versicherungswesen.

Diese sind von hoher Bedeutung für das Funktionieren des Gemeinwesens, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Welche Anforderungen stellt das neue IT-Sicherheitsgesetz?

KRITIS-Unternehmen sind durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Mindest-Sicherheitsstandards für ihre IT-Infrastrukturen einzuhalten. Der durch das neue IT-Sicherheitsgesetz im BSI-Gesetz (BSIG) hinzu gekommene Paragraph 8a legt folgendes fest: Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind [2].

Darüber hinaus haben die Betreiber Kritischer Infrastrukturen mindestens alle zwei Jahre die Erfüllung der Anforderungen, wie oben dargestellt, auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Des Weiteren ist nunmehr gesetzlich festgelegt, dass IT-Sicherheitsvorfälle meldepflichtig sind. Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Umsetzung der Anforderungen – was ist zu tun?

Eine wichtige Maßnahme mit hoher Komplexität zur Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz ist der Aufbau eines Risiko- und Krisenmanagements sowie die Planung, Etablierung, Aufrechterhaltung und ständige Verbesserung eines Information Security Management Systems (ISMS), z. B. nach dem internationalen Standard ISO 27001. Nach der Umsetzung der dafür erforderlichen technischen und organisatorischen Maßnahmen, wie z. B. Etablierung von Notfallmanagement- und Security Incident Prozessen oder der Besetzung der Rollen des Information Security Managers sowie Notfall- und Krisenmanagers kann nach Erreichen des geforderten Umsetzungsgrads die Zertifizierung nach ISO 27001 in Angriff genommen werden. Die erfolgreiche Zertifizierung kann zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes beitragen und ein wirksamer Beitrag zur Abwehr von Cyberangriffen gegen die Kritischen Infrastrukturen im Finanz- und Versicherungswesen sein.

1 Handelsblatt (2015): Cyber-Angriffe auf deutsche Wirtschaft verursachen Milliardenschäden. URL: http://www.welt.de/newsticker/dpa_nt/infoline_nt/wirtschaft_nt/article138452034/Cyber-Angriffe-auf-deutsche-Wirtschaft-verursachen-Milliardenschaeden.html
2 Bundesanzeiger Verlag (2015): Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). URL: http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf#__bgbl__%2F%2F*[%40attr_id%3D%27bgbl115s1324.pdf%27]__1466543806700

Bildquelle: @tashatuvango / Fotolia.com

Schlagwörter | |
accuris AG, Dr. Christian Scharff

Autor:

Dr.-Ing. Christian Scharff

CISSP, Zertifizierter Informationssicherheits-Revisions-
und Beratungsexperte, Zertifizierter Datenschutzauditor (TÜV)