Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Detlef Borchers 64

IT-Sicherheitsgesetz: Wer was wann zu melden hat

IT-Sicherheitsgesetz: Wer was wann zu melden hat

Bild: BSI

Im Juli 2015 ist das IT-Sicherheitsgesetz ist in Kraft getreten, doch erst jetzt folgt die Rechtsverordnung, wer überhaupt IT-Sicherheitsvorfälle melden muss. Rund 700 "Anlagen" sollen in Deutschland von der Verordnung betroffen sein.

Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die "Cybersicherheit". Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis festgelegt wurde. Diese Tabelle wurde von Stefan Paris, dem für IT- und Cybersicherheit zuständigen Unterabteilungsleiter des Bundesinnenministeriums nun in Berlin vorgestellt. 70 deutsche Rechenzentren und Server-Farmen gehören zu den Meldepflichtigen.

Anzeige

Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.

Im Energiesektor liegt der Schwellenwert beispielsweise bei 450 MW pro Jahr bei der Stromerzeugung beziehungsweise -Speicherung, bei der Gasversorgung bei 5190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr, beim Tankstellennetz bei 335.000 Abgabestellen. Auf dieser Berechnungsgrundlage stellt der Energiesektor mit 320 Anlagen oder Betrieben die weitaus größte Zahl an Installationen mit meldepflichtiger IT-Sicherheit.

An zweiter Stelle steht der Bereich Wasser mit der Trinkwasserversorgung und der Abwasserbeseitigung. Kläranlagen, die 500.000 Bürger bedienen, oder Wasserwerke, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten, müssen ihre IT-Probleme melden. Insgesamt fallen 230 Anlagen unter diese Regelung. Im Bereich der Ernährung sind alle Anlagen betroffen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, der flüssige Schwellwert liegt bei 274,5 Millionen Getränke. Auf diese Weise kommen 70 sicherheitskritische Anlagen zusammen.

Die Informationstechnik im engeren Sinne bildet zahlenmäßig das Schlusslicht der Installationen. Ganze 30 Rechenzentren, Server-Farmen und Trustcenter werden meldepflichtig. Wie Referatsleiter Andreas Reisen betonte, konnte in den meisten Fällen nicht das 500.000-er Modell zur Berechnung des Schwellenwertes herangezogen werden. Dieses Modell funktioniert noch in den Trustcentern: Wer 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben hat, wird meldepflichtig.

Bei den Rechenzentren betrifft es alle Installationen mit einer Jahresdurchschnittsleistung von 5 Megawatt, bei Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen und bei den Content-Lieferern sind diejenigen meldepflichtig, die mehr als 75.000 Terabytes im Jahr ausliefern.

Neben diesen 30 Anlagen gibt es die Telekommunikationsbetreiber, die die Kommunikationsnetze und Datennetze sicherstellen. Hier verweist die geplante Rechtsverordnung auf das Telekommunikationsgesetz (TKG), in dem die Meldepflichten für diese Branche bereits geregelt sind und macht nur wenige Vorgaben. Der Schwellenwert für alle Netze und Übertragungsleistungen liegt bei 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr, bei DNS-Servern bei durchschnittlich 2,5 Millionen IP-Abfragen pro Tag beziehungsweise bei 250.000 Domains, für die der Server autoritativ ist. Über Abfragen bei der Bundesnetzagentur wird derzeit untersucht, wie viele TK-Anlagen damit insgesamt unter die Meldepflicht fallen.

Auch in den Bereichen Gesundheit sowie für das Finanz- und Versicherungswesen sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier sollen bis Ende 2016 die Verordnungen festgeklopft werden. Die jetzt bekannt gemachten Details zu den ersten vier Branchen werden an die Bundesländer und Branchenverbände übermittelt, eine Expertenanhörung soll folgen.

Anzeige

Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen haben die Betreiber jeweils sechs Monate Zeit, die Vorfalls-Meldepflicht beim BSI zu realisieren. Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem Kostenaufwand von 660 Euro für jede Schadensmeldung.

Weitere zwei Jahre bleiben den Betreibern sicherheitskritischer Anlagen, die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. Sie haben dabei Anspruch auf Beratungsleistungen von BSI-Fachleuten. Wie Paris betonte, wäre Deutschland damit Ende 2018 so weit, die IT-Meldepflicht in allen kritischen Sektoren in Kooperation mit der Wirtschaft eingeführt zu haben. Sein Referatsleiter Andreas Reisen führte aus, dass solche Meldepflichten künftig dank der Schwellenwertmethode einfach erweitert werden können: "Angenommen, wir bekommen autonome Autos. Sowie ein Betreiber mehr als 500.000 Personen transportiert, wird er meldepflichtig." (Detlef Borchers) / (anw)

64 Kommentare

Anzeige
  1. BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

    BSI legt Grundstein für Prüfungen gemäß IT-Sicherheitsgesetz

    Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei nachweisen, Sicherheitsvorkehrungen gemäß dem Stand der Technik vorgenommen zu haben. Die ersten Schulungen für Prüfer machen klar, was das konkret bedeutet.

  2. Meldepflicht für mehr Firmen bei Cyberangriffen

    Meldepflicht für mehr Firmen bei Cyberangriffen

    Die Bundesregierung hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Dadurch wächst die Zahl der betroffenen Unternehmen.

  3. Der IT-Sicherheitskongress debattiert: Wer bestimmt den "Stand der Technik"?

    Anschaulich

    Am letzten Tag des IT-Sicherheitskongresses rechnete ein Jurist mit der Formulierung "Stand der Technik" ab, die im IT-Sicherheitsgesetz und im Telemedien-Gesetz eine wichtige Rolle spielt.

  4. Krankenhäuser rüsten sich gegen Cyber-Attacken

    Krankenhäuser rüsten sich gegen Cyber-Attacken

    Ab Ende Juni müssen Krankenhäuser mit mindestens 30.000 Behandlungsfällen pro Jahr sich nach dem IT-Sicherheitsgesetz richten.

  1. Hat Betrieb eine Zukunft?

    Gerade der Betrieb ist für die Zukunft der IT entscheidend – und sollte goldenen Zeiten entgegengehen. Aber durch die Relevanz steigt auch der Druck: Nur ein Betrieb, der den Anforderungen genügt, hat eine Zukunft.

  2. Netzfragen zur Bundestagswahl: Facebook hat Fake News "absolut unterschätzt"

    Im Interview verrät der netzpolitische Sprecher der SPD Lars Klingbeil die Position seiner Partei zur Vorratsdatenspeicherung, der Debatte über Fake News und warum er beim Staatstrojaner sogar gegen seine eigene Partei gestimmt hat

  3. Die neue Basis für Grundschutz-Zertifizierungen

    Die neue Basis für Grundschutz-Zertifizierungen

    Wer ein System zum Management der Informationssicherheit nach ISO27001 aufbauen und leben will, kommt in Deutschland kaum an den IT-Grundschutz-Katalogen des BSI vorbei. Mit der 15. Ergänzungslieferung, die ab dem 1.12. verbindlich wird, halten dort nun auch Windows 8, eingebettete Systeme und die Software-Entwicklung Einzug.

  1. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  2. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

  3. Plagiats-Jägerin: Kaum Fortschritte im Kampf gegen Ideen-Klau bei Doktorarbeiten

    Schavan

    Weil die frühere Bildungsministerin Annette Schavan in ihrer Doktorarbeit plagiiert hat, trat sie vor fünf Jahren zurück. Was hat sich seitdem an den Unis getan?

  4. Neuer Miniaturisierungsrekord bei Delta-Robotern

    Neuer Miniaturisierungsrekord bei Delta-Robotern

    Forscher der Harvard University haben Industrieroboter auf eine Größe von wenigen Millimetern geschrumpft.

Anzeige