Bundesamt für Sicherheit in der Informationstechnik

Meldepflicht

Das durch das IT-Sicherheitsgesetz geänderte BSI-Gesetz verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) unter anderem dazu, dem Bundesamt für Sicherheit in der Informationstechnik erhebliche IT-Störungen zu melden. Die Meldung kann anonym erfolgen, eine Nennung des meldenden Betreibers ist nur in bestimmten Fällen notwendig. Das BSI bewertet und analysiert die eingehenden Meldungen und setzt sie mit weiteren Meldungen und Erkenntnissen aus anderen Quellen in Beziehung. Daraus entsteht ein Lagebild, auf dessen Basis beispielsweise kurzfristige Warn- und Alarmierungsmeldungen sowie Handlungsempfehlungen für Betroffene erstellt werden können. Diese tragen dazu bei, dass sich KRITIS-Betreiber, aber auch andere Unternehmen und Behörden, frühzeitig auf Angriffe oder Ausfälle vorbereiten bzw. entsprechende Abwehrmaßnahmen treffen können. Die Betreiber erhalten somit Informationen und Know-how und können von der Auswertung der Meldungen aller Betreiber sowie vieler anderer Quellen durch das BSI profitieren.

Die Meldepflicht gilt seit dem Inkrafttreten der BSI-Kritisverordnung am 3. Mai 2016 für die vier Sektoren Energie, Informationstechnik und Telekommunikation (IKT), Wasser und Ernährung.

Betroffene Unternehmen finden hier mehr Informationen zu Meldewegen und Erreichbarkeiten. Weiterhin bieten die FAQ zur Meldepflicht bereits Antworten auf viele Fragen.

Betreiber Kritischer Infrastrukturen, die nicht unter die BSI-Kritisverordnung fallen, können freiwillige Meldungen über außergewöhnliche IT-Störungen über die Meldestelle der Allianz für Cyber-Sicherheit abgeben.

Wann muss gemeldet werden?

Tritt eine IT-Störung auf, sind drei Fälle zu unterscheiden:

  1. Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist NICHT möglich. Somit ist eine Meldung nicht erforderlich.
  2. Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist möglich. Somit ist eine Meldung nur dann erforderlich, sofern es sich um eine außergewöhnliche IT-Störung handelt.
  3. Ein Ausfall oder eine Beeinträchtigung der kritischen Dienstleistung ist eingetreten. Eine namentliche Meldung ist nun zwingend erforderlich.

Abbildung 1 verdeutlicht die verschiedenen Fälle, wann und in welcher Form (namentlich oder pseudonym) eine Meldung erforderlich ist.

Grafik zu den Meldekriterien für IT-Störungen Meldung von IT-Störungen Abbildung 1: Meldekriterien für IT-Störungen Quelle: Bundesamt für Sicherheit in der Informationstechnik

Was sind gewöhnliche bzw. außergewöhnliche IT-Störungen?

IT-Störungen können als gewöhnlich bezeichnet werden, wenn sie mit den nach Stand der Technik zu ergreifenden Maßnahmen abgewehrt werden können und ohne nennenswerte Probleme oder ohne erhöhten Ressourcenaufwand bewältigt werden können. Die zu ergreifenden Maßnahmen können sowohl technisch als auch organisatorisch sein und werden in den branchenspezifischen Sicherheitsstandards konkretisiert.

IT-Störungen können als außergewöhnlich bezeichnet werden, wenn sie nicht bereits automatisiert mithilfe der als Stand der Technik beschriebenen Maßnahmen abgewehrt, sondern nur mit erheblichem bzw. deutlich erhöhtem Ressourcenaufwand (z. B. erhöhtem Koordinierungsaufwand, Hinzuziehen zusätzlicher Experten, Nutzung einer besonderen Aufbauorganisation, Einberufung eines Krisenstabs) bewältigt werden können.

Abbildung 2 führt einige Beispiele von gewöhnlichen und außergewöhnlichen IT-Störungen auf.

Grafik zu außergewöhnlichen IT-Störungen Meldung von IT-Störungen Abbildung 2: Unterscheidung gewöhnliche von außergewöhnlichen IT-Störungen Quelle: Bundesamt für Sicherheit in der Informationstechnik

Was ist unter einem Ausfall der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur zu verstehen?

Unter einem Ausfall der Funktionsfähigkeit der Kritischen Infrastruktur (also der Anlage) versteht das BSI, dass die betroffene Anlage nicht mehr in der Lage ist, den von ihr erbrachten Anteil an der Erbringung der kritischen Dienstleistung zu leisten. Es wird auch von einem Ausfall im Sinne des BSI-Gesetzes ausgegangen, wenn sich die Qualität der von der Anlage erbrachten kritischen Dienstleistung durch eine IT-Störung derart verschlechtert, dass sie den Anforderungen der kritischen Dienstleistung an die Qualität nicht mehr genügt.

Beispiele:

  • Wasser wird nicht mehr in Trinkwasserqualität geliefert.
  • ICE fahren nur noch mit 30 km/h.
  • Banküberweisungen dauern 3 Tage.


Was ist unter einer Beeinträchtigung der Funktionsfähigkeit der betriebenen Kritischen Infrastruktur zu verstehen?

Unter Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur (also der Anlage) versteht das BSI, dass die betroffene Anlage nicht mehr in der Lage ist, den von ihr erbrachten Anteil an der Erbringung der kritischen Dienstleistung voll umfänglich, also in der erwarteten Quantität (Menge pro Zeit) zu erbringen. Das Kriterium der Beeinträchtigung tritt dann ein, wenn die Quantität (Leistung bzw. versorgte Personen) der erbrachten kritischen Dienstleistung der Anlage um mindestens 50 % der in der BSI-Kritisverordnung (BSI-KritisV) angegebenen Schwelle gemindert ist. Sofern die in der BSI-KritisV angegebene Schwelle eine Gesamtmenge pro Jahr angibt, ist diese entweder auf einen Tag (Bsp.: Tonnen/Tag) oder in eine Leistung (Bsp.: MW) umzurechnen.

Beispiel Leistung:

  • Kraftwerke (die Schwelle in der BSI-KritisV beträgt 420 MW Leistung): eine Beeinträchtigung liegt vor, wenn aufgrund der IT-Störung die Leistung eines Kraftwerks um mindestens 210 MW reduziert ist bzw. reduziert sein könnte.

Beispiele Einwohnerwerte:

  • Kläranlage (die Schwelle in der BSI-KritisV beträgt 500.000 Einwohnerwerte): eine Beeinträchtigung liegt vor, wenn die Anlage durch den Vorfall in einem Grad beeinträchtigt ist, der 250.000 Einwohnerwerten entspricht.

Beispiel Menge/Tag:

  • Lebensmittelproduktion und -verarbeitung (die Schwelle in der BSI-KritisV beträgt 434.500 t/Jahr): eine Beeinträchtigung liegt vor, wenn aufgrund der IT-Störung die Menge an produzierten bzw. verarbeiteten Lebensmitteln pro Tag um mindestens 434.500 t/(365 x 2) ≈ 600 t reduziert ist bzw. reduziert sein könnte.

    Wenn die Beeinträchtigung mehrere Tage andauert, so sind die Tageswerte zu addieren.
    Also z. B.: Die Beeinträchtigung dauert 3 Tage. Die Menge an produzierten bzw. verarbeiteten Lebensmitteln pro Tag ist an jedem der drei Tage um 210 t reduziert. Aus der Addition 210 t (Tag 1) + 210 t (Tag 2) + 210 t (Tag 3) = 630 t ergibt sich eine meldepflichtige IT-Störung.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK