Home
Intern
veröffentlicht am 01. September 2020
Die IT-Sicherheit von Energieversorgern ist nach wie vor oft unzureichend. Dies zeigen erneute Hackerangriffe in den vergangenen Wochen und Monaten, bei denen Kundendaten erbeutet wurden oder der betreffende Energieversorger Opfer von Erpressern wurde. Vor diesem Hintergrund sind die Bestrebungen der Bundesregierung im Zusammenhang mit der Novellierung des IT-Sicherheitsgesetz es zu verstehen. Dieses sieht vor, die Anforderungen an die Informationssicherheit für Betreiber kritischer Infrastrukturen (KRITIS) weiter zu erhöhen und die Schwellenwerte deutlich zu senken, ab denen die Vorgaben dieses Gesetzes verbindlich gelten.
Um die Informationssicherheit für Betreiber kritischer Infrastrukturen (KRITIS) zwingend und nachhaltig zu verbessern, hat die Bundesregierung im Jahr 2015 das IT-Sicherheitsgesetz (ITSiG) verabschiedet. Im Mai 2020 hat das Bundesinnenministerium (BMI) einen neuen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 fertiggestellt.
Als Kernbestandteil des Gesetzes wird nach wie vor anzusehen sein, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen abzusichern sind, die dem Stand der Technik entsprechen. Außerdem sind erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die zuständige Aufsichtsbehörde zu melden.
Das Gesetz definiert also Informationssicherheits-Vorgaben für Betreiber kritischer Infrastrukturen, wie z. B. Energieversorgungsunternehmen. Dabei ist die ordnungsgemäße Erfüllung dieser Vorgaben regelmäßig nachzuweisen.
Mit dem Prüfungsstandard 860 hat das Institut der Wirtschaftsprüfer (IDW) im Jahr 2018 einen kriterienbasierten Prüfungsansatz geschaffen, der sowohl gesetzliche als auch aufsichtsrechtliche und – dies ist im KRITIS-Umfeld besonders wichtig – branchenspezifische Anforderungen aufgreift. In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde auf dieser Basis für die Prüfung kritischer Infrastrukturen der Prüfungshinweis PH 9.860.2 entwickelt.
Laut Definition ist eine „Kritische Infrastruktur“ eine Anlage, ein System oder ein Teil davon mit wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung.
Zum Sektor Energie gehören die folgenden Branchen: Elektrizität, Gas, Mineralöl und Fernwärme. Anhand definierter und messbarer Schwellenwerte können Betreiber im Detail prüfen, ob sie unter die KRITIS-Gesetzgebung fallen. Ausschlaggebend dafür ist die aktuelle „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV1)“. Beispielsweise fallen Energieerzeugungsanlagen ab einer installierten Netto-Nennleistung (elektrisch) von 420 MW unter die KRITIS-Gesetzgebung. Es wird erwartet, dass mit dem IT-Sicherheitsgesetz 2.0 dieser Schwellwert deutlich gesenkt wird.
Ergänzend ist in diesem Zusammenhang zu bemerken, dass u. U. auch Partner, Dienstleister und Lieferanten der originären KRITIS-Betreiber in indirekter Form den Anforderungen des IT-Sicherheitsgesetzes nachkommen müssen.
Unabhängig davon, ob ein Energieversorger unter die KRITIS-Gesetzgebung fällt oder nicht – aus heutiger Sicht kann sich die Geschäftsleitung den Informations-/IT-Sicherheitsrisiken nicht mehr entziehen, die sich aus dem Digitalisierungstrend ergeben. Auf Basis verschiedener gesetzlicher Grundlagen lassen sich folgende 3 Pflichten ableiten:
So haben etwa Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gem. § 93 Abs. 1 (1) und (2) AktG anzuwenden. Für einen Geschäftsführer einer GmbH wird nach § 43 Abs. 1 GmbHG der gleiche Maßstab zur Sorgfalt gefordert.
Diese Pflicht der Geschäftsleitung verlangt, dafür Sorge zu tragen, dass sich die Gesellschaft in ihren Außenbeziehungen rechtmäßig verhält. Dabei hat die Geschäftsleitung auch die Handlungen ihrer Mitarbeiter zu überprüfen.
In § 91 Abs. 2 AktG wird die Einrichtung explizit gefordert. Es ist aufgrund dieser Regelung davon auszugehen, dass im Falle einer juristischen Überprüfung auch die Geschäftsführung einer GmbH oder anderer Gesellschaftsformen betroffen ist.
Die Umsetzung dieser Verpflichtungen lässt sich für den Bereich Informationssicherheit mit dem Aufbau und dem Betrieb eines bedarfs- und anforderungsgerechten Informationssicherheitsmanagementsystems (ISMS) erfüllen, das im Idealfall in die Systeme des Unternehmens (z. B. Risikomanagementsystem) integriert ist. Damit wären auch die richtigen Voraussetzungen geschaffen, KRITIS-Anforderungen schon jetzt zu erfüllen, auch wenn dies für das Unternehmen erst in Zukunft gesetzlich zwingend erforderlich wird.
Das IT-Sicherheitsgesetz definiert, dass organisatorische und technische Maßnahmen umgesetzt werden müssen, die den „Stand der Technik“ berücksichtigen. Bei dem Begriff "Stand der Technik" handelt es sich um einen unbestimmten Rechtsbegriff, der keine messbare Größe, sondern eher einen Grundsatz darstellt. Unter Stand der Technik werden demnach die technischen Möglichkeiten zusammengefasst, die zum aktuellen Zeitpunkt umsetzbar sind und die sich ihrerseits auf wissenschaftliche und technische Erkenntnisse stützen. Durch die Klausel „Stand der Technik“, etwa in Verträgen, soll sichergestellt werden, dass es zum Einsatz der besten verfügbaren Technik kommt.
Es ist also nicht möglich, den Begriff allgemeingültig und abschließend zu definieren. Deshalb gibt es in der Regel technik- und branchenspezifisch Umsetzungen, die als dem „Stand der Technik“ entsprechend bewertet und regelmäßig validiert werden müssen. Da die ordnungsgemäße Erfüllung der gesetzlichen Vorgaben regelmäßig nachzuweisen ist, muss auch regelmäßig geprüft werden, ob die ergriffenen Sicherheitsmaßnahmen tatsächlich dem geforderten Stand der Technik entsprechen. Um bewerten zu können, ob bei einer Maßnahmenumsetzung der "Stand der Technik" realisiert ist, kann ein Rückgriff auf diverse nationale und internationale Normen, u. a. DIN-, ISO-, DKE- oder ISO/IEC-Normenreihen, sinnvoll sein.
Durch die Implementierung und Aufrechterhaltung eines Information Security Management Systems (ISMS) werden die maßgeblichen Pflichten eines Betreibers einer Kritischen Infrastruktur erfüllt. Für KRITIS-Betreiber aus dem Sektor Energie ist dabei der IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz verbindlich zu berücksichtigen. Bei der Umsetzung der entsprechenden Anforderungen werden neben IT-technischen Aspekten auch alle anderen wesentlichen Einflussfaktoren auf die Informationssicherheit adäquat berücksichtigt, u. a. die organisatorische und personelle, aber auch die physische Sicherheit. Essenziell ist in jedem Fall, dass u. a. folgende, KRITIS-spezifischen Aspekte bei der Implementierung des ISMS berücksichtigt werden:
Die Novellierung des IT-Sicherheitsgesetzes wird voraussichtlich mindestens folgende Änderungen mit sich bringen:
Das Thema Informations-/IT-Sicherheit gewinnt in Gesellschaft und Wirtschaft aktuell zunehmend an Bedeutung. Diesem Aspekt wird auch das IT-Sicherheitsgesetz 2.0 Rechnung tragen. Die Verabschiedung des Gesetzes wird sich aber voraussichtlich noch etwas hinziehen.
Als sicher kann gelten, dass das Netz engmaschiger wird – das Netz, das definiert, welche Branchen und Unternehmen in welchem Umfang Informations-/IT-Sicherheitsmaßnahmen umsetzen müssen. Wie die konkreten Auswirkungen auf Schwellwertdefinitionen im Energiesektor aussehen, ist dabei aber noch ungewiss.
Erfahren Sie mehr über unsere Beratungsleistungen in den Bereichen:
Sie haben eine Frage zum Thema?
Dann nehmen Sie jetzt unverbindlich Kontakt auf und unsere Experten melden sich umgehend bei Ihnen!
Helfen Sie uns, Spam zu bekämpfen.
*
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner
Anfrage senden
