Bundesamt für Sicherheit in der Informationstechnik

Ein Jahr IT-Sicherheitsgesetz

Die IT-Sicherheit bei Kritischen Infrastrukturen macht gute Fortschritte

Ort Bonn
Datum 25.07.2016

Ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes zieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine positive Zwischenbilanz. Kern des Gesetzes ist die Verbesserung der Informationssicherheit in Kritischen Infrastrukturen. Auch wenn die Umsetzungsfristen noch laufen, ist schon jetzt erkennbar, dass das IT-Sicherheitsgesetz vielfältige Aktivitäten in Gang gesetzt hat, die eine Verbesserung der IT-Sicherheit bei Betreibern Kritischer Infrastrukturen nach sich ziehen wird.

Nachdem am 3. Mai 2016 der erste Korb der BSI-Kritis-Verordnung in Kraft getreten ist, steht in vier Sektoren Kritischer Infrastrukturen (Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung) konkret fest, welche Anlagen und somit welche Betreiber unter die KRITIS-Neuregelungen des IT-Sicherheitsgesetzes fallen. Dabei wurde die Verordnung in einem kooperativen Prozess unter Einbindung der Branchenarbeitskreise des UP KRITIS vorbereitet und letztlich vom Bundesministerium des Innern in Kraft gesetzt. Der zweite Teil der Verordnung, der die verbleibenden drei Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit regelt, wird aktuell erarbeitet.

Viele Betreiber Kritischer Infrastrukturen sichern aktuell ihre IT nach Stand der Technik ab bzw. überprüfen die vorhandene Absicherung. Hintergrund sind entsprechende Anforderungen im neu gestalteten BSI-Gesetz. Um die Absicherung der IT einheitlich und mit guter Qualität umsetzen zu können, arbeiten mehrere Branchen im Rahmen der Branchenarbeitskreise des UP KRITIS an der Erstellung von branchenspezifischen Sicherheitsstandards. Das BSI hat hierzu mit dem UP KRITIS eine Orientierungshilfe veröffentlicht, die die Anforderungen an solche Standards und somit auch an die Umsetzung des § 8a BSIG formuliert.

Für den Bereich der Energieversorgungsnetze wurde ein etwas anderer Weg beschritten: Hier hat die Bundesnetzagentur (BNetzA) im Benehmen mit dem BSI einen IT-Sicherheitskatalog für Energienetzbetreiber veröffentlicht. Darin werden die Anforderungen an diese KRITIS-Betreiber definiert, die sie binnen zwei Jahren umzusetzen haben. Zwischenzeitlich wurden zudem Anforderungen an Zertifizierungsstellen veröffentlicht und somit die notwendige Grundlage gelegt, damit Energienetzbetreiber mit der geforderten Zertifizierung ihrer IT beginnen können.

Wie vom Gesetz intendiert, verschickt das BSI anlassbezogen Warn- und Lageinformationen an die bereits registrierten Kontaktstellen der KRITIS-Betreiber sowie an die für Kritische Infrastrukturen zuständigen Behörden. Grundlage für die BSI-Informationen sind neben öffentlichen, vertraulichen und eigenen Quellen neuerdings auch die Vorfallsmeldungen der KRITIS-Betreiber, die im BSI entgegengenommen, analysiert und im Hinblick auf potentielle Auswirkungen analysiert werden. Ziel ist es, stets über ein Gesamtlagebild zu verfügen und - zu allererst - Betreiber Kritischer Infrastrukturen rechtzeitig zu warnen, sodass diese notwendige Schutzmaßnahmen vor Schadenseintritt umsetzen können.

Um das zu erreichen, müssen sich alle verpflichteten Betreiber registrieren. Hierfür haben die Betreiber der in Korb 1 der BSI-Kritis-Verordnung geregelten Sektoren noch bis zum 3. November 2016 Zeit. Das IT-Sicherheitsgesetz wird nach Ansicht des BSI jedoch nicht nur bei den verpflichteten Betreibern Wirkung erzeugen. Das BSI ist überzeugt, dass die in Erstellung befindlichen branchenspezifischen Sicherheitsstandards und die im Ausbau befindlichen Warn- und Kommunikationsstrukturen auch über den Kreis der eigentlich Verpflichteten Ausstrahlwirkung erzeugen werden.

Die Umsetzung der KRITIS-Neuregelungen im IT-Sicherheitsgesetz erfolgt dabei weitgehend kooperativ, zumeist im Rahmen der etablierten Kooperation UP KRITIS, die sich 2016 vorrangig der guten Umsetzung des IT-Sicherheitsgesetzes widmet. Betreiber Kritischer Infrastrukturen, Verbände und staatliche Stellen sind sich einig, dass die Themen IT- und Cyber-Sicherheit höchste Priorität in der Kooperation haben. Seit Inkrafttreten des IT-Sicherheitsgesetzes konnten mehrere neue Branchenarbeitskreise gegründet werden. Die Teilnehmerzahl des UP KRITIS hat sich binnen eines Jahres verdoppelt und stieg ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes auf rund 380 Organisationen. Das Thema IT-Sicherheit wird somit in Folge des IT-Sicherheitsgesetzes in deutlich mehr Organisationen aktiv adressiert.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de