iinews – Der mobile Newsdienst



« | »

IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant

Welche wesentlichen Pflichten kommen auf KRITIS-Betreiber zu?
Verpflichtende Angriffserkennung

Inbetriebnahme von Systemen zur Erkennung von Cyber-Attacken.

Konkret: KRITIS-Betreiber müssen sicherstellen, dass neben einer Firewall sowie einer Anti-Viren Software zusätzlich Systeme implementiert sind, welche Cyber-Angriffe automatisch und im besten Fall in Echtzeit erkennen.
Dies kann beispielsweise mit sogenannten IDS/IPS (Intrusion Detection / Prevention System) oder SIEM-Lösungen umgesetzt werden.
Mindeststandards kritischer Komponenten

KRITIS-Kernkomponenten, die für eine Störung im Betrieb kritischer Dienstleistungen sorgen können, müssen Mindeststandards des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfüllen und eine Vertrauenswürdigkeitserklärung der gesamten Zulieferkette dieser Komponente nachweisen.

Konkret: Hersteller, die beispielsweise medizinische oder IT-Geräte für kritische Dienstleistungen herstellen, müssen Mindeststandards vom BSI erfüllen und nachweisen. Zusätzlich muss der Hersteller eine sogenannte Vertrauenswürdigkeitserklärung abgeben, dass die komplette Lieferkette dieser Komponenten die Sicherheitskriterien erfüllt.
Bislang sind diese Mindeststandards noch nicht bekannt und werden erst in Gremien definiert. Fraglich ist derzeit, wie schnell diese Richtlinie umgesetzt wird, da ein Nachweis aus der gesamten Zulieferkette einen enormen Aufwand für die Hersteller bedeutet.
Drastische Erhöhung der Bußgelder

Mit der Anpassung an die EU-DSGVO werden Verstöße mit Geldbußen von bis zu 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes verhängt

Konkret: Die Bußgelder des IT-Sicherheitsgesetzes werden analog zur bereits etablierten EU-DSGVO (Datenschutzgrundverordnung) erhöht. Das heißt, Stand heute max. 100.000 Euro Bußgeld wird auf 20.000.000 Euro bzw. 4% des weltweiten Unternehmensumsatzes angehoben.
Erkennung von Sicherheitsrisiken

Das BSI darf Maßnahmen zur Erkennung von Sicherheitslücken und Risiken in öffentlich erreichbaren Informationssystemen durchführen.

Konkret: Das BSI erhält das Recht, eigenständig alle öffentlich zugänglichen IT-Systeme (z.B. eine Website) von KRITIS-Betreibern auf Sicherheitslücken zu prüfen. Das bedeutet, dass das BSI diese Systeme genauso wie ein Angreifer untersuchen/penetrieren kann.
An dieser Stelle wird es sinnvoll werden, als Betreiber vorzubeugen und selbständig Penetrationstest der eigenen Systeme durchzuführen.
Erstellung von Krisenreaktionsplänen

In Zusammenarbeit mit dem BSI sowie dem Bundesamt für Bevölkerungsschutz und der Katastrophenhilfe sollen abgestimmte Entscheidungen im Notfall unverzüglich Maßnahmen ausführbar machen.

Konkret: KRITIS-Betreiber sollten Ressourcen für eine „Krisenmanager“ Position abstellen. Dieser sollte die Interessen der Klinikums gegenüber den Behörden vertreten und die Maßnahmen in Krisensituationen abstimmen.
Fazit

Bei Verabschiedung des IT-Sicherheitsgesetzes 2.0 werden die IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert, das BSI erhält weitreichende Kompetenzen und die Sanktionen bei Fehlverhalten werden drastisch erhöht.

Die Zeit zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen zum Schutz der IT-Systeme sollte deswegen nicht zu knapp kalkuliert werden. KRITIS-Betreiber sollten schon jetzt mit der Planung notwendiger Schritte beginnen, da erfahrungsgemäß die Umsetzung der Gesetzesanforderungen ab Beginn der Planung bis zu zwei Jahre dauert.

Der komplette Gesetzesentwurf (IT-SiG 2.0) enthält noch eine Vielzahl weiterer konkreter Änderungen. In diesem Beitrag wurden nur wesentliche Ausschnitte beschrieben, die insbesondere für Betreiber kritischer Infrastrukturen relevant sind.

Posted by on 19. August 2019.

Tags: , , ,

Categories: Vermischtes

0 Responses

You must be logged in to post a comment.

« | »




Neue Beiträge


Seiten