Logo von heise online

Suche
Detlef Borchers 64

IT-Sicherheitsgesetz: Wer was wann zu melden hat

IT-Sicherheitsgesetz: Wer was wann zu melden hat

Bild: BSI

Im Juli 2015 ist das IT-Sicherheitsgesetz ist in Kraft getreten, doch erst jetzt folgt die Rechtsverordnung, wer überhaupt IT-Sicherheitsvorfälle melden muss. Rund 700 "Anlagen" sollen in Deutschland von der Verordnung betroffen sein.

Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die "Cybersicherheit". Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis festgelegt wurde. Diese Tabelle wurde von Stefan Paris, dem für IT- und Cybersicherheit zuständigen Unterabteilungsleiter des Bundesinnenministeriums nun in Berlin vorgestellt. 70 deutsche Rechenzentren und Server-Farmen gehören zu den Meldepflichtigen.

500.000-er-Regel

Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.

Im Energiesektor liegt der Schwellenwert beispielsweise bei 450 MW pro Jahr bei der Stromerzeugung beziehungsweise -Speicherung, bei der Gasversorgung bei 5190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr, beim Tankstellennetz bei 335.000 Abgabestellen. Auf dieser Berechnungsgrundlage stellt der Energiesektor mit 320 Anlagen oder Betrieben die weitaus größte Zahl an Installationen mit meldepflichtiger IT-Sicherheit.

An zweiter Stelle steht der Bereich Wasser mit der Trinkwasserversorgung und der Abwasserbeseitigung. Kläranlagen, die 500.000 Bürger bedienen, oder Wasserwerke, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten, müssen ihre IT-Probleme melden. Insgesamt fallen 230 Anlagen unter diese Regelung. Im Bereich der Ernährung sind alle Anlagen betroffen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, der flüssige Schwellwert liegt bei 274,5 Millionen Getränke. Auf diese Weise kommen 70 sicherheitskritische Anlagen zusammen.

Die Informationstechnik im engeren Sinne bildet zahlenmäßig das Schlusslicht der Installationen. Ganze 30 Rechenzentren, Server-Farmen und Trustcenter werden meldepflichtig. Wie Referatsleiter Andreas Reisen betonte, konnte in den meisten Fällen nicht das 500.000-er Modell zur Berechnung des Schwellenwertes herangezogen werden. Dieses Modell funktioniert noch in den Trustcentern: Wer 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben hat, wird meldepflichtig.

Bei den Rechenzentren betrifft es alle Installationen mit einer Jahresdurchschnittsleistung von 5 Megawatt, bei Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen und bei den Content-Lieferern sind diejenigen meldepflichtig, die mehr als 75.000 Terabytes im Jahr ausliefern.

Neben diesen 30 Anlagen gibt es die Telekommunikationsbetreiber, die die Kommunikationsnetze und Datennetze sicherstellen. Hier verweist die geplante Rechtsverordnung auf das Telekommunikationsgesetz (TKG), in dem die Meldepflichten für diese Branche bereits geregelt sind und macht nur wenige Vorgaben. Der Schwellenwert für alle Netze und Übertragungsleistungen liegt bei 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr, bei DNS-Servern bei durchschnittlich 2,5 Millionen IP-Abfragen pro Tag beziehungsweise bei 250.000 Domains, für die der Server autoritativ ist. Über Abfragen bei der Bundesnetzagentur wird derzeit untersucht, wie viele TK-Anlagen damit insgesamt unter die Meldepflicht fallen.

Auch in den Bereichen Gesundheit sowie für das Finanz- und Versicherungswesen sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier sollen bis Ende 2016 die Verordnungen festgeklopft werden. Die jetzt bekannt gemachten Details zu den ersten vier Branchen werden an die Bundesländer und Branchenverbände übermittelt, eine Expertenanhörung soll folgen.

Sechs Monate Übergangszeit

Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen haben die Betreiber jeweils sechs Monate Zeit, die Vorfalls-Meldepflicht beim BSI zu realisieren. Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem Kostenaufwand von 660 Euro für jede Schadensmeldung.

Weitere zwei Jahre bleiben den Betreibern sicherheitskritischer Anlagen, die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. Sie haben dabei Anspruch auf Beratungsleistungen von BSI-Fachleuten. Wie Paris betonte, wäre Deutschland damit Ende 2018 so weit, die IT-Meldepflicht in allen kritischen Sektoren in Kooperation mit der Wirtschaft eingeführt zu haben. Sein Referatsleiter Andreas Reisen führte aus, dass solche Meldepflichten künftig dank der Schwellenwertmethode einfach erweitert werden können: "Angenommen, wir bekommen autonome Autos. Sowie ein Betreiber mehr als 500.000 Personen transportiert, wird er meldepflichtig." (anw)

64 Kommentare

Anzeige
  1. Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten

    Datenklau

    Mit der Verordnung zur Bestimmung Kritischer Infrastrukturen konkretisiert das Bundesministerium des Inneren seit heute, welche Anlagen aus den Bereichen IKT, Energie, Wasser und Ernährung unter die neue Meldepflicht des IT-Sicherheitsgesetz fallen.

  2. Sicherheitsrichtlinie: EU-Rat billigt Meldepflicht bei Cyberangriffen

    Netzwerk, Kabel, Switch, Foundry Networks

    Die EU-Mitgliedsstaaten haben den Kompromiss zur geplanten Richtlinie über Netz- und Informationssicherheit angenommen, den Verhandlungsführer zuvor mit dem EU-Parlament ausgehandelt hatten. Es geht um Sicherheitsauflagen für Online-Anbieter.

  3. IT-Sicherheitsgesetz tritt in Kraft

    IT-Sicherheitsgesetz

    Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" bringt zunächst verschärfte Anforderungen für Serveradmins und Meldepflichten für Provider sowie Kernkraftwerksbetreiber mit sich.

  4. Schadsoftware im Atomkraftwerk Gundremmingen

    Schadsoftware im Atomkraftwerk Gundremmingen

    Im Block B des bayerischen Atomkraftwerks Gundremmingen wurde offenbar eine Schadsoftware eingeschleust, die ein IT-System mit dem Internet verbinden wollte.

  1. Hat Betrieb eine Zukunft?

    Gerade der Betrieb ist für die Zukunft der IT entscheidend – und sollte goldenen Zeiten entgegengehen. Aber durch die Relevanz steigt auch der Druck: Nur ein Betrieb, der den Anforderungen genügt, hat eine Zukunft.

  2. Digitale Agenda (1): Innen-, Justiz- und Außenpolitik

    IT-Sicherheit, Datenschutz, Schutz vor Kriminalität und Spionage sind einige der Themen der nun von der Bundesregierung vorgelegten Digitalen Agenda in dem Bereich der Innen-, Justiz- und Außenpolitik.

  3. Ist Watson schuld an IBMs Gewinnrückgang?

    Gewinnrückgang bei IBM: Watson ist (un)schuldig

    Das KI-System des IT-Riesen wurde mit viel Hype eingeführt. Doch noch bringt es nicht die erwarteten Einnahmen.

  1. LG 360 VR ist die schlechteste aktuelle VR-Brille

    LG 360 VR ist die schlechteste aktuelle VR-Brille

    Auch LG setzt auf Virtual Reality und bietet die Brille "360 VR" an, die zusammen mit dem Smartphone LG G5 funktioniert. Allerdings hat der Hersteller bei der Ergonomie heftig gepatzt. Die 360 VR wird auch deshalb mit großer Wahrscheinlichkeit floppen.

  2. Gericht bestätigt europäischen Haftbefehl gegen Julian Assange

    Gericht bestätigt europäischen Haftbefehl gegen Julian Assange

    Das Stockholmer Bezirksgericht hat einen Antrag der Anwälte des Wikileaks-Gründers abgewiesen, den EU-Haftbefehls aufzuheben.

Anzeige