Bundesamt für Sicherheit in der Informationstechnik

Meldepflicht

Erläuterungen zur Meldepflicht nach § 8b Abs. 4 BSIG

Durch das IT-Sicherheitsgesetz "soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland" (BT-Drs. 18/4096, 1) erreicht werden. Hierfür sind neben gut geschützten IT-Systemen unter anderem eine bessere Lageübersicht und ein rascher Austausch von Informationen zu IT-Bedrohungen und -Gefahren erforderlich. Über den Schutz der IT-Systeme und Prozesse müssen die Betreiber "Kritischer Infrastrukturen" (KRITIS-Betreiber) gemäß § 8a Abs. 3 BSI-Gesetz (BSIG) geeignete Nachweise vorlegen. Für erhebliche IT-Störungen im Betrieb der Kritischen Infrastrukturen sieht § 8b BSIG unter anderem eine Meldepflicht für die KRITIS-Betreiber vor.

Eine besondere Rolle kommt der Meldepflicht zu, wenn es darum geht, IT-Störungen organisationsübergreifend zu verhindern oder ihre Auswirkungen abzumildern. Die rechtzeitige Kenntnis über einen Vorfall bei einem betroffenen KRITIS-Betreiber kann ein wichtiger Faktor sein, um einen ähnlichen Vorfall derselben Art bei anderen zu verhindern oder seine Auswirkungen abmildern zu können. Es ist die gesetzliche Aufgabe des Warn- und Meldewesens des BSI, Informationen zu sammeln, aufzuarbeiten und das Ergebnis an die angeschlossenen Institutionen (KRITIS-Betreiber) zu verteilen. Dies erfolgt zum Beispiel in Form von Warnungen zu bestimmten Schwachstellen oder Informationen zu geeigneten Maßnahmen zur Absicherung von IT-Systemen. Die nach dem BSIG zu Meldungen Verpflichteten sind also nicht nur Lieferanten von Cyber-Sicherheitsinformationen, sondern auch Empfänger.


Die nachfolgenden Punkte sollen helfen, die Frage "Wann und Was soll ich melden?" von einer abstrakten Ebene, wie sie im BSIG formuliert ist, auf eine etwas konkretere Ebene, die näher am tatsächlichen Geschehen ist, zu verlagern.

Schnell zum Abschnitt

Was ist eine IT-Störung?

Zur IT-Störung findet sich in der Begründung des IT-Sicherheitsgesetzes folgende Erläuterung:

"Eine [IT-]Störung im Sinne des BSI-Gesetzes liegt daher vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken." (siehe BT-Drs 18/4096, 28)

Beispiele für IT-Störungen, die keine IT-Sicherheitsvorfälle sind und trotzdem meldepflichtig sind, können sein:

  • ein Bagger, der ein Kabel durchtrennt,
  • ein Ausfall der Kühlung eines Rechenzentrums,
  • ein falsch konfiguriertes System,
  • ein fehlerhaftes Update oder ein fehlerhafter Patch, der eingespielt wird.

Wann ist eine IT-Störung erheblich?

§ 8b Abs. 4 Nr. 2 BSIG sagt, dass eine IT-Störung erheblich sein muss, um den Tatbestand der Meldepflicht zu erfüllen. Eine eindeutige, umfassend geltende Antwort, wann eine Störung erheblich ist, ist nicht möglich. Stattdessen ist es erforderlich, dass die Verantwortlichen in KRITIS-Unternehmen Einzelfallentscheidungen treffen.

Die folgende Liste an Beispielkriterien dient nur als Orientierungshilfe, um einen ersten Maßstab anlegen zu können. Die Beispielkriterien berücksichtigen dabei die IT-seitigen Auswirkungen der IT-Störung, nicht jedoch ihren Einfluss auf die kritische Dienstleistung. Diese ist erst in einem zweiten Schritt zu betrachten.

Eine erhebliche IT-Störung liegt insbesondere vor, wenn

  • eine Nicht-Behandlung zu immer weiterführenden negativen Auswirkungen führen würde (z. B. wenn der Ausfall einer Anlagensteuerung zu immer umfangreicheren Schäden oder der Zerstörung einer Anlage führen würde)
  • zusätzliche Aufwände und Mittel eingesetzt oder eingeplant werden, die über die Aufwände und Mittel des Regelbetriebs oder bereits geplanter Arbeiten hinausgehen (z. B. zusätzliche Mitarbeiter, Überstunden, Einsatz von Ersatzkapazitäten, zusätzliche Geld- oder Sachmittel)
  • ihre Behandlung durch speziell vorgehaltene Incident-Responder oder Störfallteams durchgeführt werden muss
  • wichtige IT-Systeme oder Komponenten zur Vermeidung weiterer Auswirkungen abgeschaltet oder isoliert werden
  • für den Bewältigungszeitraum Betriebsprozesse geändert werden
  • sie einen hohen finanzielle Schaden verursacht
  • die Vermutung naheliegt, dass das Unternehmen Ziel eines neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffs oder Angriffsversuchs ist, z.B. ein sog. Advanced Persistent Threat (APT)
  • besondere Berichtspflichten gegenüber der Unternehmensleitung für solche IT-Störungen bestehen

Auch wenn erst im Nachhinein festgestellt wurde, dass die IT-Störung erheblich im Sinne des BSIG war, ist sie ab diesem Zeitpunkt meldepflichtig.

Was ist ein Ausfall?

Ein Ausfall liegt vor, wenn die Funktionsfähigkeit einer KRITIS nicht mehr gegeben ist. Eine geplante Betriebsunterbrechung gilt nicht als Ausfall.

Was ist eine erhebliche Beeinträchtigung einer Kritischen Infrastruktur?

Eine erhebliche Beeinträchtigung liegt insbesondere vor, wenn eine KRITIS nicht mehr in der Lage ist, ihre Versorgungsleistung wie geplant oder erwartet zu erbringen, z. B. weil ihre Funktionsfähigkeit nur noch in Teilen gegeben ist, und die darauf entstandene Minderleistung erheblich ist. Wann eine Minderleistung erheblich ist, muss im Verhältnis zur Betroffenheit der Versorgten gesehen werden.

Beispielsweise kann von einer erheblichen Beeinträchtigung ausgegangen werden, wenn:

  • eine große Anzahl von Nutzern betroffen ist
  • eine große Anzahl von Geschäftsprozessen betroffen ist
  • die Auswirkungen die öffentliche Aufmerksamkeit auf sich ziehen

Was ist ein möglicher Ausfall oder eine mögliche erhebliche Beeinträchtigung?

§ 8b Absatz 4 Satz 1 Nummer 2 BSIG setzt voraus, dass eine erhebliche IT-Störung zu einem Ausfall oder einer Beeinträchtigung der betriebenen Kritischen Infrastrukturen hätte führen können – in diesem Fall wäre die erhebliche IT-Störung meldepflichtig.

Folgende Beispiele dienen der Orientierung:

  • Es treten erhebliche IT-Störungen während einer geplanten Betriebsunterbrechung auf, die sich auf die Funktionsfähigkeit der Kritischen Infrastruktur negativ auswirken. Aufgrund der geplanten Betriebsunterbrechung ist die zu diesem Zeitpunkt geplante Versorgungsleistung bereits 0 und wird durch die zusätzliche Störung nicht weiter verringert.

    Z. B.: ein Patch wird während einer Betriebsunterbrechung eingespielt, der die Funktionsfähigkeit der Anlage stört.

  • Es treten erhebliche IT-Störungen während einer geplanten Betriebsunterbrechung auf, die dazu führen, dass die Betriebsunterbrechung länger als geplant andauert, aber nicht zwingend zu einer Verringerung der Versorgungsleistung führt.
  • Es treten erhebliche IT-Störungen auf, die nicht alle, aber mehrere Schutzmechanismen, die vor IT-Störungen oder Einschränkungen schützen sollen, überwinden.

    Z. B.: Ein Angreifer verschafft sich Zugang zum Netz der Kritischen Infrastruktur, die Versorgungsleistung wird dadurch aber nicht gemindert.

  • Es treten erhebliche IT-Störungen auf, die zu einem Ausfall oder einer erheblichen Beeinträchtigung von Teilen einer Kritischen Infrastruktur führen, aber die Versorgungsleistung über ihre Dauer nicht tatsächlich mindern. Dies könnte der Fall sein, wenn ein Teil der Produktions- oder Logistikkette innerhalb der Kritischen Infrastruktur ausfällt, die Versorgung aber zumindest zeitweilig durch Lagerbestände aufrechterhalten werden kann.
  • Werden Angriffe auf die Kritische Infrastruktur unter Verwendung von neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffsverfahren entdeckt, muss davon ausgegangen werden, dass eine Einwirkung auf die Kritische Infrastruktur möglich ist, sobald sich die Angreifer dazu entschließen.

Wann muss gemeldet werden?

Ausgehend vom Gesetzestext heißt es im § 8b (4) BSIG:

"Betreiber Kritischer Infrastrukturen haben folgende Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

  1. Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
  2. erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können. [...]"

Abbildung 1 verdeutlicht die verschiedenen Fälle, wann eine Meldung erforderlich ist.

Grafik zu den Meldekriterien für IT-Störungen Meldung von IT-Störungen Abbildung 1: Meldekriterien für IT-Störungen Quelle: Bundesamt für Sicherheit in der Informationstechnik

Sollte es trotz der Erläuterungen noch immer nicht eindeutig möglich sein, festzustellen, um was für eine IT-Störung es sich handelt, können aus praktischer Erfahrung und pragmatischer Sicht folgende Fragen eine zusätzliche Hilfestellung bieten, ob die Störung zu melden ist:

  • Hätte es mir geholfen, wenn ich Warnungen über diese Art von Vorfall von einem anderen Betreiber bekommen hätte?
  • Ist die (mögliche) Einschränkungen relevant für die Versorgungslage?

Im Zweifelsfall suchen Sie den Kontakt zum BSI. Die Mitarbeiter und Mitarbeiterinnen unserer Meldestelle werden Sie gerne hinsichtlich der Meldepflicht beraten.

Es ist wichtig, bei allen Vorteilen, die harte Kriterien bieten können, das Ziel und den Sinn des IT-Sicherheitsgesetzes nicht aus den Augen zu verlieren. Es gibt IT-Störungen, die so bemerkenswert sind, dass es kein langes Überlegen gibt – diese sind offensichtlich meldepflichtig. Andere IT-Störungen, am anderen Ende des Spektrums, wie zum Beispiel ein Standard-Virus, der im AV-Scanner hängen bleibt, sind ebenso offensichtlich nicht meldepflichtig. Jede IT-Störung sollte mit gesundem Menschenverstand betrachtet sowie intern diskutiert und im Zweifelsfall lieber zu früh als zu spät gemeldet werden.

Weitere wichtige Fragen und Antworten finden Sie in der folgenden FAQ.