Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Detlef Borchers 64

IT-Sicherheitsgesetz: Wer was wann zu melden hat

IT-Sicherheitsgesetz: Wer was wann zu melden hat

Bild: BSI

Im Juli 2015 ist das IT-Sicherheitsgesetz ist in Kraft getreten, doch erst jetzt folgt die Rechtsverordnung, wer überhaupt IT-Sicherheitsvorfälle melden muss. Rund 700 "Anlagen" sollen in Deutschland von der Verordnung betroffen sein.

Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die "Cybersicherheit". Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis festgelegt wurde. Diese Tabelle wurde von Stefan Paris, dem für IT- und Cybersicherheit zuständigen Unterabteilungsleiter des Bundesinnenministeriums nun in Berlin vorgestellt. 70 deutsche Rechenzentren und Server-Farmen gehören zu den Meldepflichtigen.

500.000-er-Regel

Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.

Im Energiesektor liegt der Schwellenwert beispielsweise bei 450 MW pro Jahr bei der Stromerzeugung beziehungsweise -Speicherung, bei der Gasversorgung bei 5190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr, beim Tankstellennetz bei 335.000 Abgabestellen. Auf dieser Berechnungsgrundlage stellt der Energiesektor mit 320 Anlagen oder Betrieben die weitaus größte Zahl an Installationen mit meldepflichtiger IT-Sicherheit.

An zweiter Stelle steht der Bereich Wasser mit der Trinkwasserversorgung und der Abwasserbeseitigung. Kläranlagen, die 500.000 Bürger bedienen, oder Wasserwerke, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten, müssen ihre IT-Probleme melden. Insgesamt fallen 230 Anlagen unter diese Regelung. Im Bereich der Ernährung sind alle Anlagen betroffen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, der flüssige Schwellwert liegt bei 274,5 Millionen Getränke. Auf diese Weise kommen 70 sicherheitskritische Anlagen zusammen.

Die Informationstechnik im engeren Sinne bildet zahlenmäßig das Schlusslicht der Installationen. Ganze 30 Rechenzentren, Server-Farmen und Trustcenter werden meldepflichtig. Wie Referatsleiter Andreas Reisen betonte, konnte in den meisten Fällen nicht das 500.000-er Modell zur Berechnung des Schwellenwertes herangezogen werden. Dieses Modell funktioniert noch in den Trustcentern: Wer 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben hat, wird meldepflichtig.

Bei den Rechenzentren betrifft es alle Installationen mit einer Jahresdurchschnittsleistung von 5 Megawatt, bei Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen und bei den Content-Lieferern sind diejenigen meldepflichtig, die mehr als 75.000 Terabytes im Jahr ausliefern.

Neben diesen 30 Anlagen gibt es die Telekommunikationsbetreiber, die die Kommunikationsnetze und Datennetze sicherstellen. Hier verweist die geplante Rechtsverordnung auf das Telekommunikationsgesetz (TKG), in dem die Meldepflichten für diese Branche bereits geregelt sind und macht nur wenige Vorgaben. Der Schwellenwert für alle Netze und Übertragungsleistungen liegt bei 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr, bei DNS-Servern bei durchschnittlich 2,5 Millionen IP-Abfragen pro Tag beziehungsweise bei 250.000 Domains, für die der Server autoritativ ist. Über Abfragen bei der Bundesnetzagentur wird derzeit untersucht, wie viele TK-Anlagen damit insgesamt unter die Meldepflicht fallen.

Auch in den Bereichen Gesundheit sowie für das Finanz- und Versicherungswesen sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier sollen bis Ende 2016 die Verordnungen festgeklopft werden. Die jetzt bekannt gemachten Details zu den ersten vier Branchen werden an die Bundesländer und Branchenverbände übermittelt, eine Expertenanhörung soll folgen.

Sechs Monate Übergangszeit

Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen haben die Betreiber jeweils sechs Monate Zeit, die Vorfalls-Meldepflicht beim BSI zu realisieren. Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem Kostenaufwand von 660 Euro für jede Schadensmeldung.

Weitere zwei Jahre bleiben den Betreibern sicherheitskritischer Anlagen, die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. Sie haben dabei Anspruch auf Beratungsleistungen von BSI-Fachleuten. Wie Paris betonte, wäre Deutschland damit Ende 2018 so weit, die IT-Meldepflicht in allen kritischen Sektoren in Kooperation mit der Wirtschaft eingeführt zu haben. Sein Referatsleiter Andreas Reisen führte aus, dass solche Meldepflichten künftig dank der Schwellenwertmethode einfach erweitert werden können: "Angenommen, wir bekommen autonome Autos. Sowie ein Betreiber mehr als 500.000 Personen transportiert, wird er meldepflichtig." (anw)

64 Kommentare

Anzeige
  1. BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

    BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

    Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei nachweisen, Sicherheitsvorkehrungen gemäß dem Stand der Technik vorgenommen zu haben. Die ersten Schulungen für Prüfer machen klar, was das konkret bedeutet.

  2. IT-Sicherheitsgesetz: Sieben meldepflichtige Attacken in einem Jahr

    Kabel

    Ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes sind bei der zuständigen Behörde sieben Meldungen wegen Cyberattacken eingegangen.

  3. BSI-Bericht zur Lage der IT-Sicherheit: Die Lage bleibt angespannt

    Hacker, Code, Security, Sicherheit

    In seinem neuesten Bericht beurteilt das Bundesamt für Sicherheit in der Informationstechnik die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland. Dabei zeigt es Schwachstellen auf und bewertet unter anderem Angriffsmethoden.

  4. Meldepflicht für mehr Firmen bei Cyberangriffen

    Meldepflicht für mehr Firmen bei Cyberangriffen

    Die Bundesregierung hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Dadurch wächst die Zahl der betroffenen Unternehmen.

  1. Hat Betrieb eine Zukunft?

    Gerade der Betrieb ist für die Zukunft der IT entscheidend – und sollte goldenen Zeiten entgegengehen. Aber durch die Relevanz steigt auch der Druck: Nur ein Betrieb, der den Anforderungen genügt, hat eine Zukunft.

  2. Die neue Basis für Grundschutz-Zertifizierungen

    Die neue Basis für Grundschutz-Zertifizierungen

    Wer ein System zum Management der Informationssicherheit nach ISO27001 aufbauen und leben will, kommt in Deutschland kaum an den IT-Grundschutz-Katalogen des BSI vorbei. Mit der 15. Ergänzungslieferung, die ab dem 1.12. verbindlich wird, halten dort nun auch Windows 8, eingebettete Systeme und die Software-Entwicklung Einzug.

  3. Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

    Der Krypto-Wegweiser für Nicht-Kryptologen

    Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren.

  1. Klassiker: Alfa Romeo Montreal

    Klassiker

    Der Alfa Romeo Montreal bringt mit seinem Schlafzimmerblick nicht nur Alfa-Fans um den Verstand. Das Sportcoupé ist eine echte italienische Diva mit zickiger Technik, aber wenn sie läuft, dann möchte man nicht mehr aussteigen.

  2. Was war. Was wird. Vom Sommer der Liebe bis zum Platz hinter dem Deich, enthaltend des Sommerrätsel dritten Teil

    Ruhe, Sonne Sommer

    Ach, man hat ja im Sommer mal Zeit, was in aller Ruhe zu diskutieren, meint Hal Faber. Der sich dann doch über all die Aufgeregtheiten wundert, während die Wale im Baggersee paddeln. Und sich zeigt, dass Menschenrechtler und Hacker zusammenarbeiten müssen

  3. Freudsche Zustände

    Gestaltet der Mensch seine Gesellschaft bewusst - oder wird er unbewusst durch Strukturen und Dynamiken des Systems geformt?

  4. Ist das uralte Atomkraftwerk in Fessenheim nun definitiv abgeschaltet?

    Eine Mitteilung des französischen Netzbetreibers RTE zu der Abschaltung ist undurchsichtig

Anzeige