Logo von heise online

Suche
preisvergleich_weiss

Recherche in 1.515.324 Produkten

Detlef Borchers 64

IT-Sicherheitsgesetz: Wer was wann zu melden hat

IT-Sicherheitsgesetz: Wer was wann zu melden hat

Bild: BSI

Im Juli 2015 ist das IT-Sicherheitsgesetz ist in Kraft getreten, doch erst jetzt folgt die Rechtsverordnung, wer überhaupt IT-Sicherheitsvorfälle melden muss. Rund 700 "Anlagen" sollen in Deutschland von der Verordnung betroffen sein.

Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die "Cybersicherheit". Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis festgelegt wurde. Diese Tabelle wurde von Stefan Paris, dem für IT- und Cybersicherheit zuständigen Unterabteilungsleiter des Bundesinnenministeriums nun in Berlin vorgestellt. 70 deutsche Rechenzentren und Server-Farmen gehören zu den Meldepflichtigen.

Anzeige

500.000-er-Regel

Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.

Im Energiesektor liegt der Schwellenwert beispielsweise bei 450 MW pro Jahr bei der Stromerzeugung beziehungsweise -Speicherung, bei der Gasversorgung bei 5190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr, beim Tankstellennetz bei 335.000 Abgabestellen. Auf dieser Berechnungsgrundlage stellt der Energiesektor mit 320 Anlagen oder Betrieben die weitaus größte Zahl an Installationen mit meldepflichtiger IT-Sicherheit.

An zweiter Stelle steht der Bereich Wasser mit der Trinkwasserversorgung und der Abwasserbeseitigung. Kläranlagen, die 500.000 Bürger bedienen, oder Wasserwerke, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten, müssen ihre IT-Probleme melden. Insgesamt fallen 230 Anlagen unter diese Regelung. Im Bereich der Ernährung sind alle Anlagen betroffen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, der flüssige Schwellwert liegt bei 274,5 Millionen Getränke. Auf diese Weise kommen 70 sicherheitskritische Anlagen zusammen.

Die Informationstechnik im engeren Sinne bildet zahlenmäßig das Schlusslicht der Installationen. Ganze 30 Rechenzentren, Server-Farmen und Trustcenter werden meldepflichtig. Wie Referatsleiter Andreas Reisen betonte, konnte in den meisten Fällen nicht das 500.000-er Modell zur Berechnung des Schwellenwertes herangezogen werden. Dieses Modell funktioniert noch in den Trustcentern: Wer 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben hat, wird meldepflichtig.

Bei den Rechenzentren betrifft es alle Installationen mit einer Jahresdurchschnittsleistung von 5 Megawatt, bei Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen und bei den Content-Lieferern sind diejenigen meldepflichtig, die mehr als 75.000 Terabytes im Jahr ausliefern.

Neben diesen 30 Anlagen gibt es die Telekommunikationsbetreiber, die die Kommunikationsnetze und Datennetze sicherstellen. Hier verweist die geplante Rechtsverordnung auf das Telekommunikationsgesetz (TKG), in dem die Meldepflichten für diese Branche bereits geregelt sind und macht nur wenige Vorgaben. Der Schwellenwert für alle Netze und Übertragungsleistungen liegt bei 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr, bei DNS-Servern bei durchschnittlich 2,5 Millionen IP-Abfragen pro Tag beziehungsweise bei 250.000 Domains, für die der Server autoritativ ist. Über Abfragen bei der Bundesnetzagentur wird derzeit untersucht, wie viele TK-Anlagen damit insgesamt unter die Meldepflicht fallen.

Auch in den Bereichen Gesundheit sowie für das Finanz- und Versicherungswesen sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier sollen bis Ende 2016 die Verordnungen festgeklopft werden. Die jetzt bekannt gemachten Details zu den ersten vier Branchen werden an die Bundesländer und Branchenverbände übermittelt, eine Expertenanhörung soll folgen.

Anzeige

Sechs Monate Übergangszeit

Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen haben die Betreiber jeweils sechs Monate Zeit, die Vorfalls-Meldepflicht beim BSI zu realisieren. Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem Kostenaufwand von 660 Euro für jede Schadensmeldung.

Weitere zwei Jahre bleiben den Betreibern sicherheitskritischer Anlagen, die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. Sie haben dabei Anspruch auf Beratungsleistungen von BSI-Fachleuten. Wie Paris betonte, wäre Deutschland damit Ende 2018 so weit, die IT-Meldepflicht in allen kritischen Sektoren in Kooperation mit der Wirtschaft eingeführt zu haben. Sein Referatsleiter Andreas Reisen führte aus, dass solche Meldepflichten künftig dank der Schwellenwertmethode einfach erweitert werden können: "Angenommen, wir bekommen autonome Autos. Sowie ein Betreiber mehr als 500.000 Personen transportiert, wird er meldepflichtig." (anw)

64 Kommentare

Anzeige
  1. Erste Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten

    Datenklau

    Mit der Verordnung zur Bestimmung Kritischer Infrastrukturen konkretisiert das Bundesministerium des Inneren seit heute, welche Anlagen aus den Bereichen IKT, Energie, Wasser und Ernährung unter die neue Meldepflicht des IT-Sicherheitsgesetz fallen.

  2. Sicherheitsrichtlinie: EU-Rat billigt Meldepflicht bei Cyberangriffen

    Netzwerk, Kabel, Switch, Foundry Networks

    Die EU-Mitgliedsstaaten haben den Kompromiss zur geplanten Richtlinie über Netz- und Informationssicherheit angenommen, den Verhandlungsführer zuvor mit dem EU-Parlament ausgehandelt hatten. Es geht um Sicherheitsauflagen für Online-Anbieter.

  3. IT-Sicherheitsgesetz: Sieben meldepflichtige Attacken in einem Jahr

    Kabel

    Ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes sind bei der zuständigen Behörde sieben Meldungen wegen Cyberattacken eingegangen.

  4. EU-Parlament beschließt Cybersicherheitsgesetz mit Meldepflicht

    Server

    Die europäischen Abgeordneten haben den lange umstrittenen Richtlinienentwurf zur Netz- und Informationssicherheit verabschiedet. Damit kommen auf größere Online-Anbieter und Betreiber kritischer Infrastrukturen Auflagen zu.

  1. Software für Unternehmen auf der CeBIT 2016

    CeBIT-Eingang

    Seit Jahren qualifiziert sich die CeBIT als Plattform für unternehmensrelevante IT. Wir haben für Sie eruiert, welche Ausstellern interessante Anwendungen oder Webdienste zeigen. Unsere Entdeckungen, die zum Teil in den c't-Ausgaben 5/16 und 6/16 veröffentlicht wurden, versammeln wir in diesem Beitrag zum Gruppenbild.

  2. Hat Betrieb eine Zukunft?

    Gerade der Betrieb ist für die Zukunft der IT entscheidend – und sollte goldenen Zeiten entgegengehen. Aber durch die Relevanz steigt auch der Druck: Nur ein Betrieb, der den Anforderungen genügt, hat eine Zukunft.

  3. Operations heute und morgen, Teil 5: Monitoring

    Monitoring-Agent in einem eigenen Docker-Container zur Überwachung aller anderen Container (Abb. 1)

    Monitoring von Systemparametern wie CPU-Last, Speicherverbrauch et cetera – das entspricht den klassischen Metriken, die man schon seit Jahrzehnten mit Monitoring-Systemen abfragt. Warum sollte sich daran mit der Cloud etwas geändert haben?

  1. Neuer BMW 5er vorgestellt

    BMW 5er G30

    Der neue BMW 5er verändert sich formal nur wenig, wird aber der Konkurrenz einheizen - auch der im eigenen Haus, denn er kommt dem BMW 7er in vielen Bereichen sehr nahe. Das ist nicht ohne Risiko, doch BMW hat keine Wahl

  2. VW Golf Facelift

    VW Golf 7 Facelift

    Viele Neuerungen bringt die Überarbeitung des VW Golf 7 nicht, was angesichts des weiteren Fahrplans nicht verwundert: Schon im Herbst 2018 dürfte der Nachfolger auf den Markt kommen. Vorerst müssen neue Motoren und Unterhaltungselektronik sowie etwas Schminke reichen

Anzeige