Recht / IT-Sicherheitsgesetz

Die Umsetzung des IT-Sicherheitsgesetzes

Einblicke in den Entwurf einer Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz

Die Rechtsverordnung zum IT-Sicherheitsgesetz spezifiziert messbare Kriterien und legt Schwellenwerte fest, über die sich der Grad der Versorgung einer bestimmten Region oder Bevölkerungsgruppe mit einer bestimmten Leistung ermitteln lässt. Wer diese Schwelle erreicht, betreibt eine kritische Infrastruktur im Sinne des Gesetzes, ist zur Einhaltung aktueller IT-Sicherheitsstandards verpflichtet und unterliegt Meldepflichten gegenüber dem BSI.

Von Ingrid Dubois, Mainz

Ende Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: ITSicherheitsgesetz – IT-SiG) in Kraft getreten. Es spezifiziert Rechte und Pflichten für Betreiber kritischer Infrastrukturen (KRITIS) und Zuständigkeiten einiger Behörden, die damit im Zusammenhang stehen. Wesentliche Ziele des Gesetzes sind, sich systematisch einer veränderten Bedrohungslage entgegenzustellen und ein hinreichendes und gleichwertiges Schutzniveau für Anlagen zu erreichen, die für die Versorgung der Bevölkerung mit bestimmten Ressourcen oder Dienstleistungen als kritisch angesehen werden.

Noch während das IT-SiG selbst im Entwurf war, wurden hierzu so genannte Sektorstudien veröffentlicht. Auf der KRITIS-Website sind Publikationen für die Branchen/ Sektoren Energie, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Transport, Verkehr und Logistik sowie Ernährung und Wasser abrufbar [1].

Art und Anzahl der Einrichtungen und Anlagen, die im Sinne des IT-SiG als kritische Infrastruktur eingestuft werden, sollen laut Artikel 1, § 10 des IT-SiG durch Rechtsverordnung bestimmt werden. Anfang Februar 2016 hat das Bundesministerium des Innern (BMI) den Entwurf einer Verordnung zur Bestimmung solcher kritischen Infrastrukturen für die Sektoren Energie, Informations- und Kommunikationstechnik, Ernährung und Wasser vorgelegt [2]. In einem weiteren Schritt wird dies für auch noch für die verbleibenden Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr erfolgen.

Die BSI-Kritisverordnung (BSI-KritisV) definiert Methoden zur qualitativen und quantitativen Identifizierung kritischer Infrastrukturen. So will man feststellen, was besondere Bedeutung für die Versorgung der Bevölkerung hat und wie viele Bürger von einem Betreiber beziehungsweise einer Anlage versorgt werden. Sind jeweils 500 000 oder mehr Bürger von einer Versorgungsleistung abhängig, gilt die dazugehörige Anlage als kritische Infrastruktur. Lässt sich die Anzahl der durch eine Anlage versorgten Personen nicht direkt erheben, wird der Versorgungsgrad näherungsweise bestimmt.

BSI-KritisV

Die im Entwurf hierfür vorgestellte Methodik beruht auf drei systematischen Verfahrensschritten:

Zunächst wird in einzelnen Paragrafen für die jeweiligen Sektoren bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind – als Grundlage dienen die Gesetzesbegründung (siehe Gesetzentwurf in [3]) und die angesprochenen Sektor-Studien [1].
Anschließend werden diejenigen Kategorien von Anlagen identifiziert, die für die Erbringung der kritischen Dienstleistungen erforderlich sind – diese Anlagenkategorien sind in sektorspezifischen Anhängen der Verordnung aufgeführt.
In einem dritten Schritt lassen sich ausgehend von den identifizierten Kategorien konkrete Anlagen bestimmen, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen – dies erfolgt anhand von Berechnungsformeln und Schwellenwerten für bestimmte Bemessungskriterien, die ebenfalls in den Anhängen enthalten sind.

Der Entwurf sieht vor, dass alle Festlegungen vier Jahre nach dem Inkrafttreten der Verordnung zu evaluieren sind. Die BSI-KritisV soll unmittelbar nach ihrer Verkündung in Kraft treten, die Anhänge enthalten darüber hinaus sektorspezifische Grundsätze und Fristen. Wichtige Übergangsfristen hat bereits das IT-SiG festgeschrieben (siehe Kasten). Die folgenden Abschnitte geben Einblicke in die konkreten Definitionen der einzelnen Sektoren.

Überblick über das IT-Sicherheitsgesetz

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheits-Gesetz – IT-SiG) ist ein Artikelgesetz, hat also mehrere bereits bestehende Gesetze geändert oder ergänzt. Die Artikel des IT-Sicherheitsgesetzes beziehen sich unter anderem auf das Atom-, das Energiewirtschafts-, das Telekommunikations-, das Telemedien-, das BSI- und das BKA-Gesetz.

Das IT-Sicherheitsgesetz regelt unter anderem, dass Betreiber kritischer Infrastrukturen

zur Umsetzung von Mindeststandards verpflichtet sind,
die Wirksamkeit ihrer Umsetzung alle zwei Jahre überprüfen lassen müssen,
Meldepflichten erfüllen müssen und
vom BSI privilegiert über IT-Vorfälle informiert werden.

Durch Rechtsverordnungen wird festgelegt, welche Unternehmen genau den Regelungen des IT-SiG unterliegen. Nach Inkrafttreten der Verordnung gelten für die Organisationen, die eine kritische Infrastruktur betreiben, folgende Fristen:

6 Monate, um die Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle zu erfüllen,
2 Jahre, um IT-Sicherheitsstandards nach dem Stand der Technik umzusetzen und dies nachweislich überprüfen zu lassen.

Eine kritische Infrastruktur im Sinne des IT-Sicherheitsgesetzes sind Anlagen, die als bedeutsam für die Versorgung der Allgemeinheit gelten – von denen also eine große Gruppe von Bürgern abhängig ist. Dazu zählen Einrichtungen und/oder Anlagen aus den Sektoren Energie, Gesundheit, IT und TK, Transport und Verkehr, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Näheres bestimmt eine Rechtsverordnung.

Sektor Energie

Kritische Dienstleistungen sind die Versorgung mit

Strom: Gewinnung/Erzeugung, Betrieb von Energieversorgungsnetzen, Stromhandel
Gas: Gewinnung/Erzeugung, Transport, Verteilung, Betrieb von Leitungsnetzen
Kraftstoff und Heizöl: Erdölförderung, Mineralölproduktion, Öltransport, Kraftstoff- und Heizölverteilung durch Tank-/Kesselwagen, Schiffe und Tankstellen
Fernwärme: Erzeugung und Verteilung von Heizwärme und Warmwasser

Als Kategorien von Anlagen sind beispielsweise genannt: Erzeugungsanlagen, Messstellen, Leitungsnetze, Raffinerien, Öllager, Heizkraftwerke und das Tankstellennetz. Beispielsweise gehört eine Anlage zur Stromerzeugung ab einer installierten Leistung von 420 Megawatt zur kritischen Infrastruktur – bei Tankstellennetzen liegt der Schwellenwert bei einer jährlichen Kraftstoffverteilung von 355 Mio. Liter.

Sektor Wasser

Kritische Dienstleistungen sind

Versorgung mit Wasser: Gewinnung, Aufbereitung, Verteilung mit Trink- und Nutzwasser
Beseitigung von Abwasser: Siedlungsentwässerung, Abwasserbehandlung, Gewässereinleitung

Die Berechnungsformel geht vom Gesamtverbrauch der Bevölkerung und einem Durchschnittsverbrauch pro Person aus, um den Bedarf für die Versorgung von 500 000 Personen zu ermitteln. Ziel ist die im gesamten Verteilungsgebiet fortdauernd gesicherte Versorgung mit Trinkwasser von einwandfreier Beschaffenheit (genusstauglich, keine Krankheitserreger, keine gesundheitsschädlichen Stoffe), in ausreichender Menge und mit ausreichendem Druck.

Im Hinblick auf die Abwasserbeseitigung ist das Ziel, Schmutzwasser und Niederschlagswasser abzuleiten und gemäß den enthaltenen Schad- und Nährstoffen zu behandeln, sodass eine Infiltration in Gewässer oder das Grundwasser zugelassen werden kann.

Als Kategorien von Anlagen sind beispielsweise genannt: Gewinnungsanlagen, Wasserwerk, Leitwarten, Kanalisation, Kläranlagen. Beispielhafte KRITIS-Schwellenwerte sind 500 000 angeschlossene Einwohner bei der Siedlungsentwässerung (Kanalisation) oder bei Gewinnungs- und Aufbereitungsanlagen eine Trinkwassermenge von 21,9 Mio. Kubikmetern pro Jahr.

Sektor Ernährung

Kritische Dienstleistungen sind die Versorgung mit

Lebensmitteln: Produktion, Verarbeitung, Handel

Die Berechnungsformel geht von einem Durchschnittsverbrauch pro Person aller Produktgruppen und nichtalkoholischen Getränken aus, um den Bedarf für die Versorgung von 500 000 Personen zu ermitteln.

Ziel ist es, im gesamten Verteilungsgebiet eine hinreichende Ernährung mit qualitativ zuträglichen Lebensmitteln gewährleisten zu können, um erhebliche Gesundheitsschäden und Störungen der öffentlichen Sicherheit und Ordnung zu vermeiden.

Als Kategorien von Anlagen sind beispielsweise genannt: Anlagen zur Produktion von Agrarerzeugnissen (landwirtschaftliche Betriebe, Fischerei), Anlagen zur Lagerung und Distribution von Lebensmitteln, Anlagen zur Bestellung und zum Verkauf von Lebensmitteln und Rohstoffen. In der Lebensmittelproduktion und -verarbeitung liegen die jährlichen KRITIS-Schwellenwerte bei 334 000 Tonnen Speisen oder 274,5 Mio. Liter Getränken.

Sektor ITK

Kritische Dienstleistungen sind

Sprach- und Datenübertragung (leitungsgebunden und drahtlos): Zugang, Übertragung, Vermittlung, Steuerung für Telefonie, Internet, Standleitungen (Dark Fiber, Wavelength-Service) et cetera – anwendungsbasierte Dienstleistungen (z. B. IP-Telefonie), die auf dieser Basisinfrastruktur aufsetzen, sind jedoch nicht erfasst.
Datenspeicherung und -verarbeitung: Housing (Räume, Elektrizität, Kühlung, Kommunikationsverbindungen etc.), IT-Hosting (Infrastructure as a Service, Platform as a Service, Webhosting etc.), Vertrauensdienste (Web-, Cloud-, Zertifikat-Dienste etc.) – Anwendungsdienste wie Internet- oder Mediendienste, die lediglich auf dieser Basisinfrastruktur aufsetzen, sind jedoch nicht erfasst.

Die Berechnungsformel ist je nach kritischer Dienstleistung festgelegt und geht von Transportvolumen, verbrauchten Megawatt in einem Rechenzentrum beziehungsweise der Anzahl von Systemen, Domains und/oder Zertifikaten aus.

Ziel ist, den Betriebsumfang der jeweiligen Anlagenkategorien zu gewährleisten, denen eine besondere Bedeutung für das Funktionieren des Gemeinwesens zugeschrieben wird. Diese Dienstleistungen gelten als kritisch, weil bei ihrem Ausfall oder ihrer Beeinträchtigung von erheblichen Versorgungsengpässen oder einer Gefährdung bedeutender Rechtsgüter wie Leib, Leben, körperlicher Unversehrtheit oder dem Eigentum einer Vielzahl von Personen auszugehen ist.

Als Kategorien von Anlagen sind beispielsweise genannt: öffentliches Telefonnetz, DNS-Resolver, IP-Registrierungs-Datenbank, Rechenzentrum (z. B. für Housing von Servern, Storage etc.), Content-Delivery-Netzwerke (z. B. für Mediendateien) und Trust-Center. Beispielhafte KRITISSchwellenwerte sind für DNS-Server 250 000 Domains, für die der Server autoritativ ist oder die aus der Zone delegiert werden, bei einer Serverfarm 25 000 laufende Instanzen (im Jahresdurchschnitt), 75 Petabyte ausgeliefertes Datenvolumen pro Jahr bei einem Content-Delivery-Network oder 10 000 TLS-Zertifikate eines Trust-Centers.

Ingrid Dubois ist zugelassene Auditorin für ISO/IEC 27001 und ISO 27001 auf der Basis von IT-Grundschutz sowie Geschäftsführerin der dubois it-consulting gmbh.

Literatur

[1] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bundesamt für Sicherheit in der Informationstechnik (BSI), Sektorspezifische Publikationen zu KRITIS, www.kritis.bund.de/SubSites/Kritis/DE/Publikationen/ Sektorspezifisch/Sektorspezifisch_node.html

[2] Bundesministerium des Innern (BMI), Referentenentwurf BSI-Kritisverordnung (BSI-KritisV), Februar 2016, www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/ kritis-vo.html

[3] Deutscher Bundestag, Basisinformationen zur Gesetzgebung: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), DIP – Dokumentations- und Informationssystem für Parlamentarische Vorgänge, http://dipbt.bundestag.de/extrakt/ba/ WP18/643/64396.html