IT-Sicherheitsgesetz: Was Banken und Versicherungen bis 30. Juni tun müssen

Ende diesen Monats läuft die Frist zur Umsetzung der geänderten BSI-Kritisverordnung ab. Unternehmen, die die Vorschriften des IT-Sicherheitsgesetzes nur unzureichend umsetzen, drohen hohe Bußgelder. Eva-Maria Scheiter von NTT Security gibt nützliche Tipps, um Strafzahlungen zu vermeiden.

Die Kritis-Verordnung regelt den Schutz kritischer Infrastrukturen in Deutschland. Darunter fallen Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung massive Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Konkret zählen dazu Wasser- und Energieversorgung, Gesundheit und Ernährung, Transport und Verkehr, Informations- und Kommunikationstechnik, Medien und Kultur und eben auch das Finanz- und Versicherungswesen.

Für alle Unternehmen, die unter die Kritis-Definition fallen, läuft am 30. Juni 2019 eine wichtige Frist ab. Bis dahin müssen sie nachweisen, dass ihre kritische IT-Infrastruktur alle Änderungsvorschriften der BSI-Kritisverordnung erfüllt. Eva-Maria Scheiter, Managing Consultant GRC beim Sicherheitsspezialisten NTT Security, sieht Banken und Versicherer in einer guten Position, denn sie gehören bereits zu den stark regulierten Branchen. Sie rät den betroffenen Unternehmen, bereits etablierte Vorgaben und Prozesse mithilfe der Orientierungshilfe zu Nachweisen gemäß § 8a (3) des BSI G zu überprüfen und sich im Zweifel kompetente Beratung ins Haus zu holen.

Nachweis alle zwei Jahre fällig

Prozesse zur obligatorischen Meldung von IT-Sicherheitsvorfällen sollten nicht nur definiert und eingerichtet, sondern sogar wie eine Feuerübung mit den Mitarbeitern trainiert werden, empfiehlt Scheiter – bevor das Haus im übertragenen Sinn in Flammen steht. Etwas knifflig zu managen seien die Abhängigkeiten zwischen den einzelnen kritischen Infrastrukturkomponenten, von denen jede einzelne den GRC-Vorschriften des BSI entsprechen müsse, unterstreicht die Sicherheitsexpertin. Wird eine Infrastrukturkomponente kompromittiert, hat der Vorfall unter Umständen Auswirkungen auf andere Komponenten, wenn dadurch Fehlfunktionen verursacht werden.

Unternehmen und Organisationen können den Nachweis, dass ihre kritische IT-Infrastruktur (Systeme, Komponenten und Prozesse) auf dem „Stand der Technik“ ist und dass sie Risiken gemäß anerkannter Standards wie ISO 27001 managen, zum Beispiel über entsprechende Zertifikate führen. Diesen Nachweis müssen die Unternehmen laut IT-Sicherheitsgesetz alle zwei Jahre erneut erbringen.

Ansprechpartner muss stets erreichbar sein

Des Weiteren schreibt das BSI-Gesetz gemäß § 8b (3) den Betreibern kritischer Infrastrukturen vor, eine Kontaktstelle zu benennen, die jederzeit – 24 Stunden am Tag, sieben Tage die Woche – erreichbar ist. Die Security-Expertin empfiehlt dafür zum Beispiel ein Funktionspostfach für mehrere Verantwortliche, nicht die persönliche Mail-Adresse eines einzelnen Mitarbeiters. So können Schichtbetrieb, Urlaubsvertretung oder Personalwechsel ohne Bruch gemanagt werden.

Betreiber sind außerdem verpflichtet, dem BSI jede IT-Störung zu melden. Darunter fallen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung geführt haben oder führen könnten.

Das seit 2015 gültige IT-Sicherheitsgesetz hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Als Artikelgesetz wird es durch Änderungsverordnungen für die einzelnen Branchen ergänzt und präzisiert.