-- WEBONDISK OK --

01210 IT-Compliance und IT-Sicherheit

Im Unternehmen trifft die Verantwortung zur Umsetzung der gesetzlichen Vorgaben zunächst die Geschäftsleitung. Selbst durch eine Delegation kann diese Verantwortung nicht übertragen werden. Die Aufgabe jedes Mitarbeiters ist, dafür zu sorgen, die IT so einzusetzen, dass keine Risiken für das Unternehmen entstehen.
Zunehmende Bedeutung bei der IT-Compliance erlangt das Thema IT-Sicherheit und Schutz der informationstechnischen Systeme. Der Beitrag gibt dazu einen Überblick über die wesentlichen einzuhaltenden Anforderungen aus dem deutschen Recht, wie zum Beispiel aus dem IT-Sicherheitsgesetz.
von:

1 Einführung

Abhängigkeit von IT
Heutzutage ist die Steuerung eines Unternehmens ohne den Einsatz von Informationstechnologie (IT) schlicht nicht vorstellbar. Die zunehmende Komplexität von Geschäftsprozessen führt zu einer wachsenden Abhängigkeit des Unternehmens von einem reibungslosen Funktionieren der EDV. Dem trägt der Gesetzgeber an vielen Stellen Rechnung, indem er die Anforderungen, die ein Unternehmen im Umgang mit der IT treffen, gesetzlich fixiert und verstärkt hat. Diese Bereiche betreffen mittlerweile alle Branchen. Deshalb ist es als Unternehmen wichtig, sich mit diesen Anforderungen im Detail auseinanderzusetzen.
Geschäftsleitung in Verantwortung
Innerhalb eines Unternehmens trifft die Verantwortung zur Umsetzung der gesetzlichen Vorgaben zunächst die Geschäftsleitung. Selbst durch eine Delegation auf bestimmte Mitarbeiter kann diese Verantwortung nicht übertragen werden. Natürlich kann in einem Unternehmen nicht nur die Geschäftsführung für den sorgfältigen Umgang mit der IT bürgen. Vielmehr ist es Aufgabe jedes Mitarbeiters, dafür zu sorgen, dass die IT so eingesetzt wird, dass keine Risiken für das Unternehmen entstehen. Nur so kann die IT-Compliance des Unternehmens gewahrt werden.
Anforderungen aus dem IT-Sicherheitsgesetz
Zunehmende Bedeutung bei der IT-Compliance erlangt das Thema IT-Sicherheit und Schutz der informationstechnischen Systeme eines Unternehmens. Wesentliche gesetzliche Anforderungen ergeben sich zum Beispiel aus dem IT-Sicherheitsgesetz. Dieses Gesetz ist erst in jüngerer Zeit erlassen worden und muss zurzeit von den betroffenen Unternehmen implementiert werden. Es verlangt einen ganzheitlichen Umgang mit den Themen der IT-Sicherheit für Unternehmen im Bereich der kritischen Infrastrukturen. Daneben strahlen diese Vorgaben als Best Practices aber auch auf andere Branchen aus. Auch dort wird man sich als Unternehmen mit den Regelungen vertraut machen müssen, will man sich nicht vorhalten lassen, unsorgfältig gehandelt zu haben.

2 IT-Compliance – Einhaltung von rechtlichen Vorgaben an die Unternehmens-IT

IT-Compliance ist vielschichtig. Denn der normative Rahmen für IT beruht auf ganz unterschiedlichen regulatorischen Vorgaben, Modellen und Prozessen (s. a. Abbildung 1). Besondere Triebkraft entfalten die zwingenden gesetzlichen Vorgaben. Diese werden nicht selten durch weiterführende Rechtsverordnungen, Leitlinien oder sonstige Mindestanforderungen flankiert. Neben diese zwingenden Vorgaben gesellen sich häufig (norm-)konkretisierende internationale oder nationale Standards. Darum gruppieren sich wiederum umfangreiche Industrienormen oder sonstige Best-Practice-Ansätze.
Abb. 1: Normativer Rahmen
Über 25.000 Complianceanforderungen weltweit
Besonders anspruchsvoll ist, dass diese IT-spezifischen Regelungen in einer digitalisierten Globalisierung durch diverse Gesetz- und Normgeber mit ganz unterschiedlichen Zielsetzungen aufgestellt werden. Sie können vom EU-Parlament oder aber einem Branchenverband stammen. Damit liegt die besondere Herausforderung bei der IT-Compliance bereits darin, den erheblichen Umfang an IT-spezifischen Regelungen und deren Anwendungsbereich überhaupt überschaubar zu erfassen. Denn die für ein Unternehmen maßgeblichen Anforderungen können in einer Vielzahl von Gesetzen, Richtlinien und gegebenenfalls auch sektorspezifischen Vorgaben verborgen liegen. Weltweit soll es schätzungsweise über 25.000 Complianceanforderungen (im weiteren Sinne) geben. In diesem Netz an globalen regulatorischen Vorgaben sind Unternehmen gehalten zu prüfen, welche Anforderungen für sie zwingend, welche ratsam und welche vernachlässigbar sind.
Übergreifende Zusammenarbeit erforderlich
Damit ist klar: Trotz starken Bezugs zum IT-Bereich des Unternehmens ist IT-Compliance keine Aufgabe, die von der IT-Abteilung allein bewältigt werden kann. IT-Compliance erfordert eine interdisziplinäre Zusammenarbeit der Bereiche IT, Recht, Datenschutz und Einkauf. Nur dann kann die IT des Unternehmens „compliant” aufgestellt werden. Dazu gehört auch eine aktiv gelebte Vorbildfunktion der Verantwortlichen, insbesondere bei der konsequenten Umsetzung der zur Herstellung von IT-Compliance geltenden Vorgaben. Aufseiten der Kostenverantwortlichen des Unternehmens gehört dazu bereits die Bereitstellung ausreichender Budgets für die Einführung notwendiger Prozesse. Bei der Delegation von IT-Compliance bezogenen Aufgaben spielt schließlich auch die angemessene Kontrolle eine Rolle. Dadurch kann eine finale (persönliche) Haftung des Vorstandes oder des Geschäftsführers vermieden werden.

2.1 Verantwortung für IT-Compliance

Teil der Corporate Governance
IT-Compliance ist Teil der Corporate Governance. Im deutschen Recht zeichnet dafür der Vorstand einer AG bzw. der Geschäftsführer einer GmbH verantwortlich. Denn diese sind unmittelbar zur Einhaltung von Gesetzen verpflichtet, die Vorschriften für die interne Organisation des Unternehmens und den Umgang mit Risiken für das Unternehmen aufstellen. Im Zeitalter der Digitalisierung gehören dazu auch Ausrichtung und Steuerung der Unternehmens-IT. Aufgrund der erheblichen Bedeutung der IT für das Fortkommen eines Unternehmens müssen sich also Vorstand und Geschäftsführung auch mit den geltenden Spielregeln für IT-Infrastruktur, Hardware und Software auseinandersetzen. Dazu kann beispielsweise gehören, aktiv ein IT-Sicherheits- und Risikomanagement betreiben zu müssen.
Abgeleitete Verpflichtungen
Die Verpflichtung dazu ergibt sich aber erst auf den zweiten Blick ins Gesetz. Denn während die Befolgung von Datenschutz (als einer der zentralen Säulen von IT-Compliance) im Bundesdatenschutzgesetz (BDSG) explizit und verbindlich angeordnet wird, kann die Verpflichtung des Vorstands bzw. der Geschäftsführer, im Unternehmen eine umfassende Compliance sämtlicher IT-Anforderungen sicherzustellen, dem Gesetz nur mittelbar entnommen werden.
AktG
Juristen folgern diese Verpflichtung aus dem überwiegend gleichen Wortlaut verschiedener Normen, insbesondere § 93 Abs. 1 Aktiengesetz (AktG). Danach haben Vorstandsmitglieder bei der Geschäftsführung die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters” anzuwenden. Diese Anforderung ist zunächst wenig aufschlussreich. Denn es erfolgt weder ein Verweis noch eine Benennung konkreter IT-Normen oder -Standards. Tatsächlich ist nicht einmal ein Hinweis auf die IT enthalten. Trotzdem: In dieser Norm wird die Verantwortung des Vorstands für die ganzheitliche Beachtung regulatorischer Anforderungen an die IT begründet. Denn die zentrale Bedeutung der IT für das Funktionieren und den Fortbestand des Unternehmens führt letztlich dazu, dass sämtliche Anforderungen, die an einen ordnungsgemäßen und sicherheitsorientierten Betrieb gestellt werden, zugleich auch Pflichten eines „ordentlichen und gewissenhaften Geschäftsleiters” sind. Denn ein ordentlicher und gewissenhafter Geschäftsleiter hat sein Unternehmen vor erkennbaren Risiken im Umfeld der IT abzusichern.
Haftung
Das Gesetz macht einen Vorstand, der diese Pflicht verletzt, für die eingetretenen Folgen auch haftbar. Nach § 93 Abs. 2 AktG haftet er dem Unternehmen unter Umständen dann auch persönlich. Die Rechtsprechung hat einen Vorstand beispielsweise schon dafür haftbar erklärt, dass dieser keine ausreichende Dokumentation des Risikomanagementsystems veranlasst hatte.

2.2 Vorgaben an die IT: Ein erster Einblick in die Anforderungen des deutschen Rechts

Explizite Anforderungen an die IT
Explizite Anforderungen an die IT enthalten die bankenspezifischen Vorgaben des § 25a Kreditwirtschaftsgesetz und des § 33 Abs. 2 Gesetz über den Wertpapierhandel für das Outsourcing von IT. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ergänzt diese Vorgaben durch sogenannte Rundschreiben. Diese enthalten eine Konkretisierung der in den vorgenannten Paragraphen enthaltenen Vorgaben.
MaRisk
Mit dem Rundschreiben 10/2012 (BA), besser bekannt als Mindestanforderungen für das Risikomanagement (MaRisk), stellt die BaFin für den von ihr regulierten Bankensektor beispielsweise Pflichten zur Ausgestaltung von Leitungs-, Steuerungs- und Kontrollprozessen beim internen IT-Risikomanagement auf. Bei der IT-Sicherheit fordern die MaRisk die adressierten Banken zudem ausdrücklich auf, sich an Standards wie den Grundschutzkatalogen des Bundesamtes für Sicherheit in der Informationstechnik oder den ISO-Standards zu orientieren (s. a. Abbildung 2).
Abb. 2: Auswahl von Vorgaben in Deutschland
Beispiel: Archivierungspflichten
Zahlreiche zwingende Anforderungen ergeben sich jedoch nicht unmittelbar aus dem Gesetz selbst. Sie müssen erst in die IT-Welt „übersetzt” werden. Ein Beispiel, das jedes Unternehmen betrifft, sind die Bestimmungen rund um das Thema Archivierung von elektronischen Geschäftsunterlagen. Jedes Unternehmen hat empfangene und abgesandte Handels- und Geschäftsbriefe aus handelsrechtlichen und steuerrechtlichen Gesichtspunkten für längere Zeiträume aufzubewahren.
HGB und AO
Das ergibt sich aus § 257 Handelsgesetzbuch (HGB) und § 147 Abgabenordnung (AO). So müssen Handelsbriefe sechs Jahre und Buchungsbelege oder Jahresabschlüsse etwa zehn Jahre revisionssicher aufbewahrt werden. Herausfordernd werden die Archivierungspflichten dadurch, dass auch sämtliche Handels- und Geschäftsbriefe aufbewahrt werden müssen, die im Zusammenhang mit der Vorbereitung, dem Abschluss und der Durchführung des eigentlichen „Handelsgeschäfts” im Sinne von § 343 HGB stehen. Da heutzutage die gesamte Geschäftskommunikation elektronisch via E-Mail erfolgt, bedeutet dies zwangsläufig, dass jedes Unternehmen ein Archivierungskonzept und entsprechende Archivierungsprozesse für die elektronischen Postfächer im Unternehmen benötigt. Die §§ 239 Abs. 4, 257 Abs. 3 HGB bestimmen dabei, dass die Archivierung auch auf elektronischen Datenträgern erfolgen kann.
Ordnungsgemäße Buchführung – GoBD
Voraussetzung dafür ist allerdings, dass die Archivierung den Grundsätzen ordnungsgemäßer Buchführung entspricht. Was darunter zu verstehen ist, beschreiben wiederum die seit 2015 geltenden Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (kurz „GoBD”), eine gesetzeskonkretisierende Vorschrift des Bundesfinanzministeriums, die in Zusammenwirken zwischen Finanzverwaltungen von Bund und Ländern, Wirtschaftsverbänden und den steuerberatenden Berufen abgestimmt worden ist. Die GoBD stellen auch über die Archivierungsvorschriften hinausgehende Anforderungen an die Bereitstellung von steuerrelevanten Daten (also zumindest aus Finanz-, Anlagen- und Lohnbuchhaltung) bei Anfragen der Steuerprüfungsbehörden. Mithin fließen über die ministerialen Vorschriften der GoBD auch Anforderungen aus dem Bereich des Steuerrechts an die digitale Archivierung ein.
Reine IT-Gesetze gibt es nicht
Anhand der beiden Beispiele, bankenspezifische Branchenanforderungen an das IT-Outsourcing auf der einen Seite und allgemeingültige Archivierungsanforderungen an sämtliche Unternehmen auf der anderen Seite, wird deutlich: „Reine IT-Gesetze” gibt es nicht. Um IT-Compliance einzuhalten, müssen ganz unterschiedliche Anforderungen identifiziert, strukturiert und gestaltend miteinander in Einklang gebracht werden. Häufig stehen diese Regularien sogar in einem Spannungsverhältnis zueinander. Damit ist klar: IT-Compliance ist vor allem ein Zusammenspiel aus vielen unterschiedlichen Kompetenzen. Um die für das Unternehmen maßgeblichen Anforderungen herauszuarbeiten, die entsprechenden Maßnahmen abzuleiten und geeignete Prozesse zu installieren, bedarf es daher einer engen Abstimmung der Bereiche Management, Recht und IT.

2.3 Monitoring der Anforderungen als Voraussetzung für angemessene IT-Compliance

Rechtlichen Rahmen im Blick behalten
Im Bereich der IT kann der Gesetzgeber mit der Geschwindigkeit des sich verändernden Markts häufig nicht Schritt halten. Deswegen gehen Gesetze selten auf konkrete Technologien ein, sondern versuchen durch möglichst generell und abstrakt gehaltene Regelungen für potenzielle Entwicklungen möglichst flexibel zu bleiben. In der jüngeren Vergangenheit zeigt sich der deutsche Gesetzgeber aber immer angepasster. Ein gutes Beispiel dafür ist der Bereich der Cybersicherheit. Dort versucht der Gesetzgeber sehr beweglich durch angepasste Gesetzesvorschriften bestimmte Sicherheitsstandards an die IT zu etablieren. Auch in anderen Bereichen ist der Gesetzgeber auf dem Vormarsch; beispielsweise im Sektor Industrie 4.0 oder dem internationalen Datentransfer. Stärker als zuvor gilt daher der Grundsatz, dass sich nicht nur die Technologie selbst, sondern auch der rechtliche Rahmen der IT-Compliance rasant verändern und fortentwickeln wird.
Monitoringprozess einrichten
Entscheidend ist mithin, nicht nur IT-Compliance einmal herzustellen, sondern die IT-Compliance durch einen sich stetig erneuernden und wiederholenden Monitoringprozess auf dem aktuellsten Stand zu halten (s. a. Abbildung 3). Gefragt ist ein kontinuierlicher Abgleich des Ist- mit dem Soll-Zustand des Unternehmens. IT-Compliance bedeutet also auch, dass einmal entstandene Unternehmensrichtlinien überarbeitet werden müssen oder unter Umständen sogar die IT-Infrastruktur des Unternehmens selbst verändert werden muss. Damit gibt es bei der IT-Compliance zwei Herausforderungen. Die erste Herausforderung ist, die Vielzahl IT-spezifischer Regelungen zu strukturieren und auf Relevanz zu prüfen. Die zweite Herausforderung besteht darin, ein gesamteinheitliches IT-Konzept zu erstellen, das nicht nur auf technologische Neuerungen, sondern auch auf veränderte regulatorische Anforderungen flexibel reagieren kann.
Abb. 3: Monitoringprozess im PDCA-Zyklus

3 IT-Sicherheit: Der Schutz informationstechnischer Systeme und Einrichtungen

IT-Prozesse aufrechterhalten
Zentrales Anliegen der IT-Sicherheit ist der Schutz der informationstechnischen Systeme und Einrichtungen des Unternehmens, also die Aufrechterhaltung der IT-Prozesse des Unternehmens. Dabei geht es im Ergebnis auch um den Schutz und die Integrität von geschäftskritischen Informationen, insbesondere kritischer Geschäfts- und Betriebsgeheimnisse. Im Zeitalter der Digitalisierung vergeht kaum eine Woche ohne Meldungen über einen IT-Sicherheitsvorfall, bei dem ein prominentes Unternehmen, eine Onlineplattform oder sonstige Netzwerke über das Netz angegriffen wurden. Noch gravierender ist allerdings die Dunkelziffer: Cyberangriffe werden oft gar nicht oder erst zu spät bemerkt, insbesondere wenn die infiltrierten Unternehmen keinen ausreichenden Schutz gegen Angriffe auf ihre informationstechnischen Systeme implementiert haben. Dann können unter Umständen wertvolles Know-how und der daraus folgende Wettbewerbsvorteil verloren gehen. Gerade kleine und mittlere Unternehmen sind begehrte Ziele der nicht selten minutiös geplanten Angriffe. Denn der Zugriff über das Netz erfolgt immer seltener durch Amateurhacker oder Hobbytüftler. Gerade im Bereich der Industriespionage erfolgen Cyberangriffe immer stärker durch gut strukturierte und stark ausgerüstete Netzwerke – nicht selten operieren diese Organisationen unter staatlicher Hand. Es sollte insofern nicht verwundern, dass laut der aktuellsten Studie des Digitalverbands Bitkom aus dem Jahr 2016 zum Wirtschaftsschutz in der Industrie in den letzten zwei Jahren ca. 70 % der Industrieunternehmen schon von Wirtschaftsspionage, Sabotage und Datendiebstahl betroffen waren.
Wann ist IT sicher?
Die Schwierigkeiten bei der Bestimmung der erforderlichen Maßnahmen beginnen bereits bei der Erfassung des Begriffs IT-Sicherheit. Was bedeutet eigentlich IT-Sicherheit, oder besser: Wann ist meine IT denn überhaupt sicher? Allgemein gesprochen bedeutet IT-Sicherheit vor allem, die IT-Systeme des Unternehmens (und die darin enthaltenen Daten) gegen Angriffe von innen und außen zu schützen.
Definition IT-Sicherheit
Tiefergehend kann auf die Definition zu IT-Sicherheit zurückgegriffen werden, die im Zusammenhang mit der Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und dem damit einhergehenden Gesetz über das BSI (BSIG) aufgestellt wurde. So bestimmt § 2 Abs. 2 BSIG, dass Sicherheit in der Informationstechnik die Einhaltung bestimmter Sicherheitsstandards bedeute, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen. Dazu zählen insbesondere Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.
Stabil, verfügbar, integer
Für das Funktionieren und den Fortbestand des Unternehmens hat die IT heutzutage eine immer größere Bedeutung. Nur wenn die IT-Systeme stabil laufen und verfügbar sind sowie die gespeicherten Informationen integer sind, können die meisten Unternehmen ihr operatives Geschäft ungehindert durchführen. Dem sollte die Geschäftsleitung Rechnung tragen. Denn nach § 93 Abs. 1 AktG haben die Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Angesichts der hohen Bedeutung der IT für das Unternehmen gehört zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters daher auch, unternehmenswichtige IT-Prozesse sachgerecht abzusichern.
Risikomanagement
Die Unternehmensleitung ist neben der Etablierung effektiver Sicherheitsmaßnahmen auch gehalten, ein angemessenes Risikomanagement hinsichtlich der vorhandenen IT-Systeme zu etablieren. Das kann je nach Branche und Ausrichtung der Unternehmen auch bedeuten, dass die Unternehmensleitung zur Schaffung eines allgemeinen Internen Kontrollsystems (IKS) verpflichtet ist. Verletzt ein Vorstand solche Pflichten, haftet er dem Unternehmen unter Umständen sogar persönlich nach § 93 Abs. 2 AktG (vgl. Abbildung 4).
Abb. 4: Sorgfaltspflicht und Haftung der Geschäftsleitung
IT-Sicherheitsmaßnahmen identifizieren und umsetzen
Konkrete Sicherheitsvorkehrungen zur effektiven Gewährleistung von IT-Sicherheit sind zuvorderst die Etablierung eines IT-Sicherheitsmanagements und – darauf aufbauend – die kontinuierliche Prüfung und Weiterentwicklung dieser Sicherheitsorganisation. Aufschluss darüber, welche konkreten Maßnahmen und Prozesse die Geschäftsleitung bzw. die jeweiligen IT-Sicherheitsverantwortlichen dabei zu treffen haben, gibt beispielsweise der IT-Grundschutz des BSI. Denn dieser bietet eine stringente Vorgehensweise, dem Stand der Technik entsprechende IT-Sicherheitsmaßnahmen zu identifizieren und im Unternehmen umzusetzen.
IT-Grundschutz-Kataloge
Die IT-Grundschutz-Vorgehensweise wird durch die IT-Grundschutz-Kataloge des BSI flankiert. Gemeinsam stellen sie sowohl eine Sammlung von IT-Sicherheitsmaßnahmen als auch eine entsprechende Methode zur Auswahl und Anpassung geeigneter Maßnahmen zur Gewährleistung von IT-Sicherheit zur Verfügung. Zwar ist diese Vorgehensweise stärker auf den Behördensektor zugeschnitten; die dort gewählten Best-Practice-Ansätze sind aber den industrienahen Standards nach ISO/IEC 27001 sehr ähnlich. Insofern sind die darin enthaltenen Empfehlungen durchaus auf den Wirtschaftssektor anwendbar. Gleichzeitig unterliegen die IT-Grundschutz-Kataloge des BSI einer ständigen Aktualisierung, die sich permanent an den aktuellen Bedrohungslagen ausrichtet. Auch für die Einführung und Kontrolle von Backupsystemen sowie die Erstellung eines Sicherheits- und Notfallkonzepts enthalten die Standards des BSI, genauso wie die der ISO 2700x-Familie, wertvolle Informationen.

3.1 Das IT-Sicherheitsgesetz und seine Rechtsverordnung(en)

Kritische Infrastrukturen
Erhöhte und gesetzlich explizit geregelte Anforderungen an die IT-Sicherheit gelten seit Juli 2015 für Betreiber sogenannter kritischer Infrastrukturen. Denn seither ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft. Ziel des Gesetzes ist es, die Bevölkerung vor den Folgen von Cyberangriffen auf kritische Infrastrukturen zu schützen. Dabei schweben dem Gesetzgeber Szenarien vor, wie man sie aus aktuellen Katastrophenfilmen und Science-Fiction-Büchern kennt: Hacker legen die Stromnetze lahm und im Laufe weniger Tage kann die Bevölkerung nicht mehr mit Lebensmitteln, Bargeld, Wasser und Sprit versorgt werden. Zudem bricht das medizinische Versorgungsnetz zusammen.
Anwendungsbereich
Entsprechend findet das IT-Sicherheitsgesetz Anwendung auf Unternehmen, die für die Versorgung der Bevölkerung von besonderer Bedeutung sind. Unternehmen fallen in den Anwendungsbereich des IT-Sicherheitsgesetzes, wenn sie zwei Voraussetzungen erfüllen. Zum einen muss das Unternehmen in einem der neun im IT-Sicherheitsgesetz benannten Sektoren tätig sein. Der Gesetzgeber unterstellt diesen Sektoren besondere Bedeutung für das Allgemeinwohl der Bevölkerung. Konkret sind das die Sektoren Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung und das Finanz- und Versicherungswesen. Zum anderen müssen die Einrichtungen oder Anlagen des Unternehmens oder wenigstens Teile davon (die durch das IT-Sicherheitsgesetz benannten Infrastrukturen) von hoher Bedeutung für das Funktionieren des Gemeinwesens sein. Das ist nach dem Gesetzeswortlaut immer dann der Fall, wenn durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung der öffentlichen Sicherheit eintreten würden.
Rechtsverordnungen
Um diese abstrakt formulierten Kriterien mit Leben zu füllen und für die Praxis nutzbar zu machen, wird das IT-Sicherheitsgesetz durch zwei Rechtsverordnungen konkretisiert. Die erste Rechtsverordnung hat das Bundesministerium des Inneren im April 2016 erlassen. Die Rechtsverordnung (im Folgenden „Erste Rechtsverordnung”) gibt Betreibern von kritischen Infrastrukturen aus den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation anhand messbarer und nachvollziehbarer Kriterien Anhaltspunkte, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Die zweite Rechtsverordnung zu den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird für das Frühjahr 2017 erwartet (vgl. Abbildung 5).
Abb. 5: Überblick IT-Sicherheitsgesetz und Rechtsverordnungen
Bestimmung einer kritischen Infrastruktur in drei Schritten
Die Erste Rechtsverordnung geht für die Bestimmung einer kritischen Infrastruktur in drei Schritten vor (s. a. Abbildung 6):
1.
In einem ersten Schritt legt die Erste Rechtsverordnung fest, welche Dienstleistungen innerhalb der benannten Sektoren als kritisch einzustufen sind. Kritisch sind nach der Ersten Rechtsverordnung solche Dienstleistungen, die der Versorgung der Allgemeinheit dienen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu einer Gefährdung der öffentlichen Sicherheit führen würden. Für den Sektor Energie bedeutet dies beispielsweise die Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung), Gas, Kraftstoff und Heizöl sowie mit Fernwärme.
2.
In einem zweiten Schritt definiert die Erste Rechtsverordnung, welche Anlagen zur Erbringung der kritischen Dienstleistungen erforderlich und mithin als kritische Anlagen zu bewerten sind. Allgemein versteht die Erste Rechtsverordnung unter Anlagen zunächst die Betriebsstätte einer kritischen Dienstleistung und sonstige damit zusammenhängende ortsfeste Einrichtungen. Zum anderen fallen unter die kritischen Anlagen aber auch einzelne Maschinen, Geräte und sonstige ortsveränderliche technische Einrichtungen. Diese müssen jedoch zwingend zur Erbringung einer kritischen Dienstleistung erforderlich sein. Der Anlagenbegriff der Ersten Rechtsverordnung umfasst abschließend auch alle Teile von Anlagen und erforderliche Verfahrensschritte, die zum Betrieb der Anlage notwendig sind. Das kann auch Nebeneinrichtungen einer Anlage erfassen, die mit der Anlage in einem betriebstechnischen Zusammenhang stehen, soweit diese für die Erbringung einer kritischen Dienstleistung benötigt wird. Im Sektor Energie, für die kritische Dienstleistung der Stromversorgung und innerhalb der Unterkategorie Stromerzeugung sind beispielsweise nach der Ersten Rechtsverordnung unter anderem folgende Anlagen als kritisch zu bewerten: Erzeugungsanlagen, Speicheranlagen sowie Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung.
3.
In einem dritten Schritt erfolgt die eigentliche Definition der kritischen Infrastruktur. Danach liegt eine kritische Infrastruktur vor, wenn es sich um eine kritische Anlage einer kritischen Dienstleistung handelt, die den für den jeweiligen Sektor spezifischen Schwellenwert erreicht. Sofern sämtliche Kriterien zusammenfallen, unterfällt diese kritische Infrastruktur den Regelungen des IT-Sicherheitsgesetzes. Die Erste Rechtsverordnung folgt beim Schwellenwert einer 500.000er-Regel. Das bedeutet, dass 500.000 Personen auf die jeweilige kritische Dienstleistung angewiesen sind. Dieser Schwellenwert wird auf die Leistung einer kritischen Anlage umgerechnet. Bringt also eine Anlage Leistungen, die für 500.000 Personen wesentlich sind, so gilt sie als kritisch im Sinne des IT-Sicherheitsgesetzes. Plakativ wird dies mit folgendem Beispiel: Der branchenspezifische kritische Schwellenwert für eine Stromerzeugungsanlage (Sektor Energie; Dienstleistung Stromversorgung; Anlagenkategorie Erzeugungsanlage) liegt umgerechnet bei 420 MW Nettonennleistung im Jahr. Denn dies entspricht dem durchschnittlichen Stromverbrauch von 500.000 Personen im Jahr. Damit fällt eine Stromerzeugungsanlage mit 420 MW Nettonennleistung unter das IT-Sicherheitsgesetz.
Abb. 6: Bestimmung einer kritischen Infrastruktur in drei Schritten
Die Erste Rechtsverordnung enthält demnach verschiedene Vorgaben, anhand deren jedes potenziell betroffene Unternehmen evaluieren muss, ob die von ihm betriebenen Einrichtungen oder Anlagen unter das IT-Sicherheitsgesetz fallen. Wer nach diesen Kriterien als Betreiber einer kritischen Infrastruktur einzustufen ist, hat den durch das IT-Sicherheitsgesetz aufgestellten Anforderungen an die Sicherheit der informationstechnischen Systeme und Einrichtungen Folge zu leisten. Das IT-Sicherheitsgesetz fordert von den Betreibern kritischer Infrastrukturen, dazu angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu ergreifen (s. a. Abbildung 7), die erforderlich sind, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse zu gewährleisten, die für die Funktionsfähigkeit der kritischen Infrastrukturen zwingend sind.
Abb. 7: Angemessene organisatorische und technische Vorkehrungen
Stand der Technik
Bei der Auswahl der dazu erforderlichen Maßnahmen ist der Stand der Technik einzuhalten. Durch den ausfüllungsbedürftigen unbestimmten Rechtsbegriff „Stand der Technik” soll die nötige Flexibilität der Maßnahmen auch für die Zukunft sichergestellt werden. Zur Ausfüllung kann auf Verfahren, Einrichtungen und Betriebsweisen abgestellt werden, die sich bereits mit Erfolg in der Praxis bewährt haben. Der jeweilige Stand der Technik kann dabei branchenabhängig divergieren. Das IT-Sicherheitsgesetz nennt zwar selbst keine konkreten Maßnahmen. Allerdings finden sich im Gesetzentwurf vermehrt Hinweise auf die ISO-Normen: allen voran den ISO/IEC-27001-Standard.
IT-Sicherheitskatalog
Auch die Bundesnetzagentur schreibt in ihrem für Energieversorger verbindlichen IT-Sicherheitskatalog die Einhaltung dieses Standards vor. Dessen ungeachtet sieht das IT-Sicherheitsgesetz aber auch vor, dass konkrete für eine jeweilige Branche geltende Standards neu entwickelt werden können. Insofern schreibt das IT-Sicherheitsgesetz nicht eine zwingende Orientierung an bestehenden Standards bzw. Maßnahmen vor. Die Entwicklung branchenspezifischer Standards (bspw. von den Betreibern kritischer Infrastrukturen bzw. Branchenverbänden) muss aber in Absprache mit dem BSI erfolgen, das sich die Prüfung eines ausreichenden Sicherheitsstandards vorbehält.
Prüf- und Meldepflichten
Den Betreibern kritischer Infrastrukturen werden über die eigentlichen Anforderungen an die Ergreifung der zur IT-Sicherheit erforderlichen technischen und organisatorischen Maßnahmen hinaus aber noch weitere spezielle Prüf- und Meldepflichten auferlegt. So müssen Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre gegenüber dem BSI nachweisen, dass sie ausreichende und dem IT-Sicherheitsgesetz entsprechende Maßnahmen zum Schutz ihrer IT ergriffen haben. Der Nachweis darüber kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt werden. Zudem müssen (erhebliche) Störungen der IT von den Betreibern der kritischen Infrastruktur an das BSI gemeldet werden. Darunter fallen vor allem Ausfälle oder Beeinträchtigungen, die auf Störungen der zugrunde liegenden informationstechnischen Systeme, Komponenten und Prozesse zurückzuführen sind. Meldepflichtig sind nicht nur tatsächlich eingetretene Ausfälle und Beeinträchtigungen, sondern auch solche Ausfälle und Beeinträchtigungen, die durch einen tatsächlichen Angriff von außen gedroht haben. Ist ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung eingetreten, ist eine namentliche Meldung allerdings zwingend. Eine anonyme Meldung soll demgegenüber reichen, wenn ein Ausfall oder eine Beeinträchtigung (nur) potenziell drohte und es sich um eine außergewöhnliche IT-Störung handelt. Eine IT-Störung gilt dann als außergewöhnlich, wenn sie nur mit erheblichem bzw. deutlich erhöhtem Ressourcenaufwand abgewehrt werden konnte. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen enthalten. Dazu zählen beispielsweise die vermuteten oder tatsächlichen Ursachen des Ausfalls bzw. der Beeinträchtigung, der betroffenen IT oder die Art der kritischen Anlage.
Lagebericht zur Sicherheit
Das BSI sammelt die Meldungen und generiert aus den daraus resultierenden Erkenntnissen einen nationalen Lagebericht zur Sicherheit der IT. Der Lagebericht soll allen Betreibern von kritischen Infrastrukturen zur Verfügung gestellt werden. Dadurch ist eine Abwehrstärkung gegen die bekannt gewordenen Bedrohungen intendiert. Aber auch andere Unternehmen und Behörden sollen sich anhand des Lageberichts des BSI auf Angriffe oder Ausfälle vorbereiten können, indem sie entsprechende Abwehrmaßnahmen treffen.
Bußgelder
Mit Erlass der Ersten Rechtsverordnung müssen die vom IT-Sicherheitsgesetz erfassten Unternehmen die relevanten Sicherheitsstandards innerhalb von zwei Jahren umsetzen. Nach Ablauf dieser Frist drohen Unternehmen, die gegen die Vorgaben des IT-Sicherheitsgesetzes verstoßen, Bußgelder von bis zu 100.000 Euro. Das gilt insbesondere für die Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen.

3.2 Mittelbare Wirkung des IT-Sicherheitsgesetzes

500 bis 1000 Betreiber kritischer Infrastrukturen
Der Gesetzgeber ging bei Verabschiedung des IT-Sicherheitsgesetzes ursprünglich von 500 bis 1000 Betreibern kritischer Infrastrukturen aus. Das erscheint zunächst wenig.
Betrachtet man aber die Vielzahl an Unternehmen, die den in der Ersten Rechtsverordnung definierten kritischen Dienstleistungen zuzuordnen sind und lediglich die festgesetzten Schwellenwerte (3. Prüfschritt) nicht erreichen, erweitert sich die Bedeutung des IT-Sicherheitsgesetzes erheblich. Denn eine Herabsetzung der Schwellenwerte (dies wäre durch eine einfache ministerielle Novellierung der Ersten Rechtsverordnung möglich) würde den Anwendungsbereich des IT-Sicherheitsgesetzes schlagartig erheblich erweitern.
Mittelbare Auswirkung auf Zulieferer und Dienstleister
Noch höhere Bedeutung erlangt das IT-Sicherheitsgesetz aber für die im Schatten der Betreiber kritischer Infrastrukturen tätigen Zulieferer oder Subdienstleister. Denn die Vergangenheit hat gezeigt, dass sich die Verpflichtungen aus klar adressierten Gesetzen nach einiger Zeit auch auf nichtregulierte Industrien erstrecken. Zulieferer oder Subdienstleister von Betreibern kritischer Infrastrukturen werden nämlich im unmittelbaren Normumfeld des IT-Sicherheitsgesetzes tätig. Sie betreiben mitunter die kritischen Anlagen oder warten diese. Möglicherweise entwickeln sie auch (nur) die für den Betrieb einer kritischen Infrastruktur erforderliche Software oder hosten die Softwarelandschaft des Betreibers. Damit unterfallen sie zwar nicht unmittelbar dem Anwendungsbereich des IT-Sicherheitsgesetzes. Sie wirken jedoch im Verantwortungsfeld der Betreiber kritischer Infrastrukturen und damit in dem durch das IT-Sicherheitsgesetz normierten Risikoumfeld. Der Betreiber ist deshalb unter Umständen verpflichtet, die eigentlich nur unmittelbar ihn treffenden gesetzlichen Anforderungen durch einen Vertrag mit dem Dienstleister auf den Dienstleister zu übertragen. Man spricht insofern von einer mittelbaren Auswirkung des IT-Sicherheitsgesetzes.
Beispiel
Müssen z. B. Betreiber kritischer Infrastrukturen Softwarekomponenten entsprechend dem ISO-27001-Standard ausrichten, so sind in diesen Branchen tätige Softwarehersteller dringend gehalten, sich ebenfalls an diesem Standard zu orientieren. Andernfalls dürfen ihre Produkte in diesem Sektor nicht mehr eingesetzt werden und sind damit schlechter verkäuflich. Zudem sehen gängige Softwarelizenz- und -projektverträge häufig vor, dass die für den Auftraggeber (also den Betreiber kritischer Infrastrukturen) geltenden regulatorischen Vorgaben (also beispielsweise das IT-Sicherheitsgesetz) von dem Auftragnehmer (also dem Softwarehersteller) zu gewährleisten sind. Das gilt in besonderem Maße auch für IT-Outsourcingverträge, also bei Verträgen über die Ausgliederung von IT-Systemen oder auch nur einzelnen Einheiten an einen externen Dienstleister. Dann hat dieser externe Dienstleister die entsprechenden Vorgaben des IT-Sicherheitsgesetzes (für den Betreiber kritischer Infrastrukturen) (mit-)einzuhalten.
Anforderungen werden durchgereicht
Insofern hat das IT-Sicherheitsgesetz auch Auswirkungen auf Unternehmen, die keine kritische Infrastruktur betreiben, jedoch im Umfeld kritischer Infrastrukturen ihr Geschäftsfeld haben. Auch solche Unternehmen sollten sich frühzeitig mit den Vorgaben des IT-Sicherheitsgesetzes auseinandersetzen. Denn schon jetzt zeichnet sich der Trend ab, dass Betreiber kritischer Infrastrukturen die originär an sie gestellten Anforderungen des IT-Sicherheitsgesetzes in der Lieferkette an die Zulieferer und Subdienstleister durchreichen.

3.3 Überblick: Andere branchenspezifische Vorgaben an IT-Sicherheit

IT-Sicherheit im Fokus
Die IT-Sicherheit wird vom Gesetzgeber derzeit immer stärker in den Blick genommen und reguliert. Das wird auch durch zahlreiche jüngere gesetzliche Anforderungen neben dem IT-Sicherheitsgesetz, auch in anderen Branchen, deutlich. Hinzu kommen sehr aktive Aufsichtsbehörden. Seit einigen Jahren haben sie das Feld der IT-Sicherheit in ihren Regulierungsrahmen aufgenommen. Dazu zählen vorrangig die Bundesnetzagentur (BNetzA) als Aufsichtsbehörde für die Aufrechterhaltung und die Förderung der sogenannten Netzmärkte und die Bundesfinanzaufsicht (BaFin) als Finanzmarktaufsichtsbehörde für alle Bereiche des Finanzwesens.
Branchenspezifische Gesetze
So hatten beispielsweise Strom- und Gasnetzbetreiber nach dem Energiewirtschaftsgesetz, Betreiber von Atomkraftwerken nach dem Atomgesetz und Telekommunikationsanbieter nach dem Telekommunikationsgesetz bereits vor Erlass des IT-Sicherheitsgesetzes ähnliche Pflichten, die in branchenspezifischen Gesetzen enthalten waren. Diese Gesetze verweisen überwiegend auf sogenannte Sicherheitskataloge: Das sind Rahmenanforderungen an die IT-Sicherheit, die durch die entsprechenden Aufsichtsbehörden als zwingendes Recht vorgegeben werden.
IT-Sicherheitskatalog und ISO/IEC 27001
So hat etwa die BNetzA für die Strom- und Gasnetzbetreiber im August 2015 einen IT-Sicherheitskatalog verabschiedet, der die Zertifizierung nach ISO/IEC 27001 bis ins Jahr 2018 vorsieht. Während das IT-Sicherheitsgesetz es den Betreibern kritischer Infrastrukturen noch offen lässt, welchen Standard sie zur Gewährleistung von IT-Sicherheit einsetzen, schreibt der IT-Sicherheitskatalog der BNetzA den Betreibern von Energieversorgungsnetzen und Betreibern von Energieanlagen ausdrücklich vor, den ISO/IEC-27001-Standard umzusetzen. Damit ist die Einrichtung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (denn das fordert der Standard ISO/IEC 27001) in Teilen des Energiesektors ausdrücklich Pflicht. Und auch die BaFin verweist für Finanzinstitute in ihren Mindestanforderungen an das Risikomanagement (MaRisk) auf den IT-Standard ISO/IEC 27001 (erwähnt allerdings auch die BSI-Grundschutzkataloge).
Die zielgerichtete Orientierung anderer Branchen an dem internationalen und auch branchenunabhängigen Industriestandard ISO/IEC 27001 zeichnet einen gewissen Trend vor. Zudem orientieren sich auch nicht regulierte Industrien vorrangig am ISO/IEC-27001-Standard. Denn dabei ist eine ganzheitliche Betrachtungsweise möglich, die auch die Einbeziehung weiterer regulatorischer Anforderungen deutlich vereinfacht. Dagegen wird der nationale BSI-Grundschutzkatalog häufig als zu unflexibel beschrieben, da sich einzelne Themenblöcke nicht einfach ausklammern oder umgestalten lassen.
Fazit
Ungeachtet des konkreten Standards sind Unternehmen aller Branchen gehalten, sich Gedanken über die Umsetzung angemessener Maßnahmen zur Gewährleistung der IT-Sicherheit ihrer informationstechnischen Systeme und Einrichtungen zu machen. Denn die Einhaltung eines Mindestmaßes an IT-Sicherheit ist nicht nur gesetzliche Pflicht für die Geschäftsleitung jedes Unternehmens. Sie sichert auch die operative Funktionsfähigkeit und die mit den IT-Systemen verbundenen, geschäftswichtigen Informationen ab.
 

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

  • IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
  • Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal