Am 7. Mai hat der Bundesrat das IT-Sicherheitsgesetz 2.0 gebilligt. Es soll laut Bundesinnenministerium unter anderem mehr Sicherheit für Unternehmen bringen. Das bedeutet für viele allerdings zunächst einmal mehr Arbeit. Denn die anvisierte Zielgruppe hat sich stark erweitert. In v1.0 standen vornehmlich Betreiber sogenannter kritischer Infrastrukturen (KRITIS) wie Wasser- oder Energieversorger im Mittelpunkt. Künftig müssen nun auch viele andere Unternehmen „im besonderen öffentlichen Interesse“ mehr IT-Sicherheitsmaßnahmen umsetzen.
Warum das Ganze? Zum einen, weil die vernetzte Gesellschaft existenziell davon abhängt, dass gewisse Systeme und Dienste funktionieren. Wer in einem Krankenhaus versorgt werden muss, will nicht, dass eine Cyberattacke den Klinikbetrieb lahmlegt. Ohne Datenzugriff gibt es an den Tankstellen auf einmal kein Benzin mehr, und ohne Strom stünde nicht nur die Arbeit, sondern mittlerweile fast das gesamte Leben still. Der zweite Grund liegt tiefer: Es geht darum, sich einfach besser zu wappnen – gegen immer häufigere Versuche, Unternehmen oder Behörden auszuspionieren, zu erpressen oder ihre Daten zu stehlen.
Für wen gelten die neuen Vorschriften?
Bisher schon mussten Betreiber kritischer Infrastrukturen ihre IT angemessen absichern und dies mindestens alle zwei Jahre überprüfen lassen. Erhebliche Störungen müssen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet werden. Mit der Neuregelung fallen darunter jetzt aber viele weitere Unternehmen. Dazu zählen etwa Rüstungshersteller oder Anbieter von IT-Lösungen zur Verarbeitung staatlicher Verschlusssachen. Des Weiteren sind Betriebe betroffen, die bestimmte gefährliche Stoffe verarbeiten oder „von erheblicher volkswirtschaftlicher Bedeutung“ sind.
Sie alle müssen dem BSI nun mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Darin ist unter anderem festzuhalten, welche Security-Zertifizierungen in den letzten zwei Jahren durchgeführt wurden und wie sichergestellt wird, dass die IT-Systeme angemessen geschützt sind. Die Unternehmen müssen sich beim Bundesamt registrieren und eine Stelle angeben, die zu den üblichen Geschäftszeiten erreichbar ist. Sie müssen Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer IT-Systeme an das BSI melden.
Erweiterte Prüfpflichten über die gesamte Lieferkette
Betreiber kritischer Infrastrukturen müssen dem Bundesinnenministerium künftig außerdem kritische Komponenten anzeigen, für die eine gesetzliche Zertifizierungspflicht besteht (§ 9b). Solche Komponenten dürfen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung dafür abgegeben hat. Darin muss er unter anderem versichern, dass das Teil keine technischen Eigenschaften hat, mit der man etwa Sabotage oder Spionage betreiben kann. Dieser Passus wird von vielen salopp „Huawei-Klausel“ genannt …
Im Zweifelsfall kann das Ministerium den Einsatz der Komponente untersagen. Da die Erklärung die gesamte (!) Lieferkette umfasst, werden Unternehmen ihre Zulieferer also noch gründlicher und gewissenhafter prüfen – ihr könnt in Gedanken ja einmal durchspielen, welche Konsequenzen das bei SolarWinds gehabt hätte, denn auch „bekannt gewordene Schwachstellen oder Manipulationen“ müssen gemeldet werden, und zwar „unverzüglich“. Ihr ahnt jedenfalls, warum mit einem zusätzlichen Erfüllungsaufwand von 21,64 Millionen Euro jährlich für die deutsche Wirtschaft gerechnet wird (welcher wahrscheinlich viel zu konservativ angesetzt ist).
Was bin ich? Und wenn ja: Womit?
Apropos Millionen: Auch die gestuften Bußgelder werden verschärft. Im äußersten Fall können bis zu 20 Millionen Euro fällig werden. Nach der DSGVO kommt nun also noch eine weitere Compliance-Daumenschraube dazu, die Unternehmen dazu zwingt, sich absolute Klarheit über ihre Assets, Abhängigkeiten und die kompletten digitalisierten Lieferketten zu verschaffen – sofern das noch nicht geschehen ist.
Ihr solltet euch also zunächst vergewissern,
- ob euer Unternehmen zu jenen „im besonderen öffentlichen Interesse“ zählt. Wenn ja, gilt es,
- das Sicherheitskonzept gründlich daraufhin abzuklopfen, ob es die Vorgaben des Gesetzes erfüllt. Wenn nicht, sollte das schnell nachgeholt werden – alle erforderlichen Daten und Metriken dürften ja greifbar sein. Ihr solltet euch außerdem
- mit den geltenden Meldefristen vertraut machen und nicht zuletzt
- zusehen, dass die Absicherung der Lieferketten in einem geordneten Prozess regelmäßig überprüft wird.
Benötigt ihr Hilfe? Wir haben in Deutschland sehr gute Partnerschaften mit Systemhäusern deren Sicherheitsexperten nicht nur stark im Bits- und Bytes-Bereich von Cyberangriffen unterwegs sind – sondern exzellente ganzheitliche Beratung machen, z. B. zu Themen wie IT-Sicherheit, Meldegesetze und gesetzlichen Vorgabe. Sprecht uns an! Wir stellen gerne den Kontakt her.
