MENU
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Cyberkriminalität
  4. Cybersicherheit - KRITIS und das IT-Sicherheitsgesetz

Immer mehr Unternehmen sind an das IT-Sicherheitsgesetz gebunden – was ist jetzt zu tun

Eine Apotheke mit einem Absatz von 4,65 Millionen Arzneimittel-Packungen pro Jahr, ein Krankenhaus mit über 30.000 stationären Fällen und ein Flughafen ab 20 Millionen Passagieren: Seit 30. Juni 2017 gehören diese Unternehmen zu den sogenannten Kritischen Infrastrukturen (KRITIS). Damit will der Staat „unverzichtbare Lebensadern einer modernen, leistungsfähigen Gesellschaft“ besser schützen, wie es in einer Erläuterung des Bundesinnenministeriums zur KRITIS-Strategie heißt.

In Ergänzung zum seit Juli 2015 gültigen IT-Sicherheitsgesetz gehören auch nun auch die Sektoren Gesundheit, Transport und Verkehr sowie Finanzen und Versicherungen zu den KRITIS-relevanten Bereichen. Im Mai 2016 war bereits der erste Teil der KRITIS-Verordnung in Kraft getreten, der die Branchen Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung betraf.

Welche Unternehmen im Einzelnen dazu gehören, ist in der Verordnung im Groben definiert. „Doch ich habe immer wieder Seminarteilnehmer, die sich zum Informationssicherheits-Beauftragten ausbilden lassen und absolut überrascht sind, zu hören, dass ihr Unternehmen als kritisch gilt“, berichtet Tatjana Brozat, Auditorin für Informationssicherheit. Deshalb hilft im Zweifelsfall eine Nachfrage bei den Branchenverbänden oder beim BSI. 

ISMS ist Voraussetzung

KRITIS ist kein reines IT-Thema. Die Einführung eines ISMS (Information Security Management System) wird vorausgesetzt oder ist spätestens dann einzuführen. Es geht dabei vielmehr um die Identifizierung von Bereichen, in denen Störfälle oder Probleme nicht nur auf das Unternehmen, sondern auf die gesamte Gesellschaft Auswirkungen haben könnten.

„Der Schutz Kritischer Infrastrukturen ist eine gesamtgesellschaftliche Aufgabe, die ein abgestimmtes und von allen Verantwortlichen – Staat, Wirtschaft und Öffentlichkeit – unterstütztes Vorgehen erfordert“, so das Bundesinnenministerium. Gesellschaften, die hoch industrialisierte, sehr komplexe Technologien nutzen und auf arbeitsteiligen, ausdifferenzierten Organisationsstrukturen aufbauen, seien besonders verletzlich für Gefährdungen jeder Art. Da ein 100-prozentiger Schutz der Infrastrukturen weder von Seiten des Staats noch von Seiten der Betreiber zu gewährleisten sei, müsse sich „das bisherige Sicherheitsdenken zu einer neuen Risikokultur transformieren“.

"Ein zentraler Punkt dabei ist eine offene Risikokommunikation zwischen Staat, Unternehmen und der Öffentlichkeit." so Frau Brozat. Dieses Thema spielt für die Firmen bei der Umsetzung der KRITIS-Verordnung eine besondere Rolle. Folgende Anforderungen müssen sie erfüllen:

KRITIS Anforderungen

download

IT-Störungen melden

Für Betreiber kritischer Infrastrukturen gilt eine Meldepflicht an das BSI. „Die Kontaktperson muss dabei in der Lage sein, entscheiden zu können, welche Vorfälle gravierend und damit meldepflichtig sind,“ erläutert Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist. 

Stand der Technik umsetzen

Der IT-Sicherheitsstandard in KRITIS-Unternehmen muss zur Vermeidung von Störungen der informationstechnischen Systeme dem „Stand der Technik“ entsprechen. Das BSI empfiehlt dafür die Gründung von Branchenarbeitskreisen, die branchenspezifische Sicherheitsstandards festlegen und damit spezifisch definieren, was unter dem „Stand der Technik“ zu verstehen ist.

Präventionsmaßnahmen und Reaktionspläne ausarbeiten

Für den Fall einer massiven Versorgungsstörung, etwa eines längeren und großflächigen Stromausfalls, müssen geeignete Maßnahmenkataloge erarbeitet werden, um die Folgen eines solchen Ereignisses möglichst gering zu halten. Dazu gehören die modellhafte Entwicklung von Krisenszenarien und darauf aufbauend die Durchführung von Krisenübungen.

Absicherung überprüfen lassen

Die Etablierung angemessener Vorkehrungen und die Erfüllung der Technikstandards muss dem BSI alle zwei Jahre beispielsweise durch Sicherheitsaudits nachgewiesen werden.

„Betreiber aus den neu benannten KRITIS-Sektoren sollten sich jetzt informieren und aktiv werden“, rät die Auditorin. „Ich empfehle auch, proaktiv auf das BSI zuzugehen, Fragen zu stellen und online die überarbeiteten Standards des BSI, den sogenannten IT-Grundschutz, einzusehen.“ Dabei sollte das Management der betroffenen Unternehmen die Thematik von Anfang an zur Chefsache machen.

Unsere Seminare zur IT-Sicherheit

Safe Website Concept

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
buchen
Composite image of blue technology interface with binary code

IT-Sicherheitsgesetz (IT-SiG)

Verschaffen Sie sich einen Überblick und profitieren Sie von den Handlungsempfehlungen zu den aktuellen Anforderungen an KRITIS-Unternehmen und Zulieferer.
buchen
two businessmen having discussion in office

Information Security Officer - ISO (TÜV)

IT-Sicherheitsbeauftragter gemäß ISO 27001 und IT-Grundschutz. Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
buchen
security lock symbol on computer circuit board

Chief Information Security Officer - CISO (TÜV)

Sie erhalten fundierte Kenntnisse um Ihre Informationssicherheit kompetent zu steuern.
buchen

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen