+49 241 149 46 0 information@plesnik.de

Liest man das IT-Sicherheitsgesetz kritisch kann man sich des Eindrucks nicht erwehren, dass aktuell viele Berater und Unternehmen auf einen Zug aufspringen wollen, von dem man noch gar nicht genau weiß wohin er eigentlich unterwegs ist, und dass zu diesem unklaren Ziel noch möglichst viele zahlende Kunden mitgenommen werden sollen.

Man sollte sich klar machen, welche Unternehmen überhaupt von diesem IT-Sicherheitsgesetz erfasst werden.

Der Gesetzgeber geht von rund 2000 Unternehmen aus, die kritische Infrastrukturen betreiben und damit unter das Gesetz fallen. Außen vor sind dabei sämtliche Kleinstunternehmen, d.h. Unternehmen mit weniger als 10 Mitarbeitern und weniger als 2Mio. Euro Jahresumsatz.

Als kritische Infrastrukturen gelten:

  • Energie
    (Versorgung mit Strom, Gas, Mineralöl)
  • Informationstechnik und Telekommunikation
    (Sprach- und Datenkommunikation, Verarbeitung und Speicherung von Daten)
  • Transport und Verkehr
    (Güter- und Personentransport per Straße, Bahn, Schifffahrt, Luftfahrt)
  • Gesundheit
    (Medizinische Versorgung und Medizinprodukte, Labore, Arzneimittel, Impfstoffe)
  • Wasser
    (Trinkwasser und Abwasser)
  • Ernährung
    (Lebensmittel: Ernährungswirtschaft und Handel)
  • Finanz- und Versicherungssektor
    (Banken, Finanz- und Zahlungsdienstleister, Börsen, Versicherungen)

Eine genaue Festlegung der betroffenen Einrichtungen steht noch aus und soll bis August 2016 erfolgen.

Durch das IT-Sicherheitsgesetz soll ein volkswirtschaftlicher Schaden abgewendet werden. Nur Einrichtungen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, werden berücksichtigt. Ein kleiner Busunternehmer, der sicherlich unter die Kategorie Transport und Verkehr fällt, wird kaum dazu verdonnert werden, seinen Buchungs-PC mit allen Mitteln der IT-Technik vor Fremdzugriffen zu schützen (wobei er dazu eigentlich ja schon aufgrund des Datenschutzgesetzes verpflichtet ist, da er dort personenbezogene Daten verarbeitet – es ändert sich somit für ihn nichts). Eben so wenig werden erhöhte Sicherheitsmaßnahmen bei Pflegediensten anfallen, bloß weil durch deren Mitarbeiter auch Medikamente verabreicht werden, also Einzelpersonen mit medizinischen Produkten versorgt werden. Auch hier ist ohnehin schon der Datenschutz aufgrund des BDSG und der Verpflichtung zur Wahrung des Berufsgeheimnisses gem. §203 StGB zu gewährleisten.

Sehr wohl betroffen dürften aber Medizinzentren, Arzneimittelhersteller oder auch Betreiber von Cloudspeicherdiensten sein. Aber auch hier existieren bereits vielfache gesetzliche Verpflichtungen zu Datenschutz und Informationssicherheit.

Neu ist aber: einerseits die Benennung einer Kontaktstelle für IT-Sicherheit im Unternehmen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Meldepflicht, wenn es zu Sicherheitsvorfällen kommt und andererseits: die Verpflichtung zu einer regelmäßigen (2 jährlichen) Auditierung der getroffenen Sicherheitsmaßnahmen.

Aber auch letztere ist sehr vage gefasst: Eine Norm für die Basis eines IT-Sicherheitsaudits ist nicht im IT-Sicherheitsgesetz vorgeschrieben sondern wird bewusst nicht definiert. Unter Umständen kann sogar die Aussage eines Wirtschaftsprüfers ausreichend sein, der eine Prüfung der IT-Systeme im Rahmen seines Audits durchführt – ob das zielführend ist, wage ich zu bezweifeln.

Audits oder Prüfungen sollen von nachweislich qualifizierten Prüfern durchgeführt werden. Ein entsprechender Auditor gilt dabei, laut IT-Sicherheitsgesetz, als qualifiziert, wenn er seine Qualifikation auf Verlangen formal glaubhaft machen kann. Kein Wunder, dass auf dieser Basis Hinz und Kunz auf den entsprechenden Zug aufspringen wollen.

Seien Sie daher vorsichtig und prüfen Sie genau, wer Sie bezüglich des Hype-Themas ‚IT-Sicherheitsgesetz‘ anspricht und welche Qualifikationen der entsprechende Anbieter hat. Machen Sie sich bewusst, dass noch gar nicht abschließend geklärt ist, bei welchen Unternehmen das IT-Sicherheitsgesetz greift und damit auch ob Sie darunter fallen.

Und lassen Sie die Kirche im Dorf: Selbst wenn Sie betroffen sein sollten, gibt es nach Inkrafttreten des IT-Sicherheitsgesetzes für die Erfüllung der Anforderungen noch eine Übergangsfrist von zwei Jahren.

Das heißt aber nun nicht, dass Sie sich entspannt im Sessel zurücklehnen sollten: In Ihrem eigenen Interesse sollten Sie daran interessiert sein und aufgrund anderer bestehenden Gesetze sind Sie zudem verpflichtet, einen Mindeststandard in Bereich Informationssicherheit und Datenschutz zu erfüllen.

Sollten Sie hier noch Nachholbedarf sehen, so gehen Sie mit Bedacht vor und wählen Sie Ihren Dienstleister sorgfältig und ohne Hektik aus.

Interessant, bisher wenig beachtet und mit weitaus breiterer Wirkung ist aber eine ebenfalls vorgenommene Änderung des Telemediengesetzes: Danach müssen Telemedienanbieter erhöhte Anforderungen an die IT-Sicherheit erfüllen. Dies betrifft alle Webseitenbetreiber, die Ihre Webseite geschäftsmäßig betreiben. Hier ist sicherzustellen, dass unerlaubte Zugriffe auf die technischen Einrichtungen durch entsprechende Maßnahmen unterbunden werden und dadurch sowohl der Schutz personenbezogener Daten als auch die Unterbindung von Störungen durch äußere Angriffe gewährleistet wird. Es wird insbesondere auf die Nutzung von Verschlüsselungsverfahren also z.B. die SSL-Verschlüsselung von Webseiten hingewiesen.

Diese Änderung ist mit der Veröffentlichung im Bundesanzeiger und somit bereits im Juli 2015 in Kraft getreten, eine Übergangsfrist ist dabei nicht vorgesehen.

Haben Sie Fragen, so sprechen Sie mich gerne an. Wir sind unabhängige Berater und legen unsere Finger nur in die Wunden, die Ihnen wirklich Schmerzen bereiten.

Herwig Holzmeister ist als IT-Systemingenieur und DEKRA zertifizierter Datenschutzbeauftragter in der Ing.-Büro Dr. Plesnik GmbH beschäftigt. Er betreut unsere Kunden als externer Dateschutzbeauftragter und hält regelmäßig Vorträge zu diesen Themen. Weiter hat er im Rahmen eines Projekts im Automotivsektor bei der weiterentwicklung der OFTP2 Verbindungen des Kunden beigetragen.