Umsetzung des § 8a BSIG in der Praxis
Kritische Infrastrukturen sind essentiell für unsere Gesellschaft. Daher sollte die Sicherheit der IT ein wichtiges Augenmerk sein. Durch das IT-Sicherheitsgesetz und den § 8a BSIG wurden hierfür die Weichen gestellt. Jedoch ist für viele Unternehmen das Thema IT-Sicherheit neu und die Umsetzung scheitert oft schon am Verständnis für die neuen Anforderungen. Hilft ein schnell eingeführtes ISMS wirklich oder sollte das Thema nachhaltiger angegangen werden?
Oft wurde uns gesagt: „Wir wissen natürlich, wie wir unsere Dienstleistung anbieten müssen, aber IT-Sicherheit? Das ist nicht unser Kernthema“. Das ist vollkommen klar; ein Bäcker wird auch nicht einfach anfangen, Kupplungen zu entwickeln und zu verkaufen.
Zunehmende Digitalisierung
In Zeiten der voranschreitenden Digitalisierung unserer Gesellschaft eröffnen sich auch immer weitere Angriffsflächen. Musste man vor Jahren noch Banken überfallen, um an Geld heranzukommen, so reicht heute der Überfall auf die IT, um sich das Geld bequem am Geldautomaten abzuheben. Dabei lässt sich dann ein sogenannter Cash-Out direkt mit einer manipulierten Chipkarte erzeugen.
Immer neue Cyber-Angriffe führen dazu, dass Angriffe auf Unternehmen nicht mehr als Ausnahme, sondern als Regel gesehen werden. So werden, je nach Studie, etwa 45% der Unternehmen regelmäßig angegriffen. „Von 2013 bis 2017 hat sich die Lage der Cybersicherheit dramatisch verschlechtert. Während die Durchdringung aller Lebensbereiche mit digitaler Technologie immer schneller voranschreitet, ist die Qualität der Technologie in der Fläche nicht besser geworden“[1].
Kritische Infrastrukturen sind essentiell für unsere Gesellschaft. So gibt es europaweite Bestrebungen, diese Infrastrukturen zu schützen. Die EU hat hierzu die Direktive 2008/114/EC herausgegeben, um in einem ersten Schritt die kritischen Infrastrukturen zu definieren und Schutzmaßnahmen einzufordern.
Beispiel Stromversorgung
Am Beispiel der Stromversorgung lässt sich gut feststellen, wie sich diese im Laufe der Zeit angepasst hat. Anfang des 19. Jahrhunderts war die Abwesenheit von Strom noch an der Tagesordnung. Selbst vor 40 Jahren noch gehörten kleinere Stromausfälle zum Alltag und waren von der Gesellschaft akzeptiert. Durch die zunehmende Industrialisierung und die Vernetzung von Systemen entstanden Kopplungen. Eine Kopplung bedeutet, „dass es zwischen zwei miteinander verbundenen Teilen kein Spiel, keine Pufferzone oder Elastizität gibt“[2]. War früher der Ausfall einer Telefonleitung noch vertretbar, so kann dies heutzutage zu einem kritischen Zustand führen, da wichtige Informationen nicht zwischen zwei Standorten übertragen werden können.
Die Bevölkerung verlernt mehr und mehr, den Ausfall von kritischen Infrastrukturen zu kompensieren. „Steigen die Auswirkungen, die durch Stromausfälle hervorgerufen werden, kann dies zweierlei bedeuten: zum einen eine wachsende Abhängigkeit vom Strom, zum anderen eine sich relational verringernde Kompensationskompetenz. Beides scheint in zunehmendem Maße gegeben.“[3]. Die beschriebene Kompensationskompetenz verringert sich durch die Digitalisierung immer weiter. Während bei älteren Bürgern in Deutschland durch die Nachkriegszeit noch Erfahrungen mit Mangelsituationen vorhanden sind, fehlen den meisten Menschen in Deutschland diese Kenntnisse, da sie selten oder nie mit Mangelsituationen infolge kriegerischer Auseinandersetzungen oder Katastrophen in Berührung gekommen sind. So können Jugendliche heutzutage kaum noch ohne ihr Smartphone auskommen. Ausfälle der Infrastruktur erleben sie somit als ernstzunehmende persönliche Bedrohung. Gerade die aktuelle Pandemie mit flächendeckenden Lockdowns zeigt deutlich auf, wie fragil die Gesellschaft in dieser Hinsicht geworden ist.
Angriffe gegen kritische Infrastrukturen
Angriffe gegen die kritischen Infrastrukturen nehmen immer weiter zu. So wurden 2015 weite Teile des ukrainischen Stromnetzes durch einen IT-Angriff abgeschaltet.
Seit 2016 ist ein starker Anstieg der Gefährdung durch Ransomware festzustellen. Weltweite Ransomware wie WannaCry hat 2017 dafür gesorgt, dass viele Unternehmen ihre Produkte und Dienstleistungen nicht mehr oder nur stark vermindert anbieten konnten. Betroffen waren hiervon viele namhafte Firmen wie beispielsweise die Deutsche Bahn, das Kammergericht Berlin, der DFB und die Fresenius. Ebenfalls sorgte ab 2017 eine weitere Malware für Aufsehen. NotPetya verbreitet sich anders als WannaCry nicht nur über Sicherheitslücken, sondern auch intern in Netzwerken. Zu den betroffenen Firmen zählen beispielsweise Maersk, Mondelez, SNCF und Merck. Die Angriffe zeigen deutlich, dass selbst bekannte Angriffswege, in diesem Fall bekannte Schwachstellen, nicht zeitnah innerhalb der Unternehmen behoben werden. Diese Wellen gehen mit den aktuellen Emotet-Kampagnen weiter.
Das BSI weist im Lagebericht 2019 genau 252 Meldungen seit der Einführung der Meldepflicht für kritische Infrastrukturen aus. Die Dunkelziffer dürfte hier weitaus höher sein.
Rechtliche Grundlagen
Da die Sicherheit der Infrastrukturen ein wichtiges Augenmerk sein sollte, wurden durch das IT-Sicherheitsgesetz und den § 8a BSIG hierfür die Weichen gestellt. Das IT-Sicherheitsgesetz ist hierbei die nationale Umsetzung der europäischen Richtlinie 2016/1148 („NIS-Richtlinie“). Durch das BSI Gesetz (BSIG) hat das BSI weitreichende Rechte wie auch Pflichten erhalten, um den Schutz von kritischen Infrastrukturen in Deutschland zu gewährleisten.
Im Rahmen der BSI-Kritisverordnung wurden zwei Körbe definiert, welchen die verschiedenen Sektoren zugeordnet worden sind. Zu den regulierten Sektoren zählen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Nicht alle Sektoren werden direkt durch das BSI überwacht. Der Bereich Energie wird durch die Bundesnetzagentur (BNetzA) betreut. Die Bereiche Staat und Verwaltung sowie Medien und Kultur fallen nicht direkt unter die KritisV und werden separat betreut.
Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz) in Kraft getreten. Diese behandelt die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung. Diese werden auch als „Korb 1“ bezeichnet. Durch die erste Verordnung zur Änderung der BSI-Kritisverordnung, die am 30.06.2017 in Kraft getreten ist, wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Diese werden auch „Korb 2“ genannt.
Anhand von Schwellwerten werden die betroffenen Unternehmen aus diesen Bereichen eingeteilt. Hierbei wird meist davon ausgegangen, dass eine Anlage 500.000 Bürger versorgt, um zu einer kritischen Dienstleistung zu zählen. Anhand von Berechnungsformeln werden die Schwellwerte berechnet. So ist der in der BSI-Kritisverordnung genannte Schwellwert für Strom unter Annahme eines Durchschnittsverbrauchs von 7.375 kWh pro versorgter Person pro Jahr definiert. Bei 500.000 Bürgern ergibt sich somit ein Schwellwert von 3.700 GWh pro Jahr ( 3.700 GWh/Jahr = 7.375 kWh/Jahr x 500.000).
Von Anfang an gab es jedoch auch Kritik an der Berechnung der Schwellwerte. So Ffllen beispielweise viele Krankenhäuser in einer Großstadt unter diese Regelung, obwohl es in der Stadt meist noch Alternativen gäbe, das kleine Kreiskrankenhaus, welches im Umkreis von 50km alle Patienten betreut, jedoch nicht.
Status-Quo des Umsetzungsstatus bei Unternehmen
Für viele KRITIS-Unternehmen ist das Thema IT-Sicherheit neu und die Umsetzung scheitert oft schon am Verständnis für die neuen Anforderungen. So haben viele Unternehmen mit der Umsetzung der gesetzlichen Anforderungen erst 2018 angefangen, obwohl das Gesetz schon seit zwei Jahren galt. Oft ist das begrenzte Budget Schuld an der mangelhaften Umsetzung neuer IT-Anforderungen.
Im Rahmen unserer beruflichen Tätigkeit als Prüfer, Ausbilder und Teilnehmer an Branchenarbeitskreisen von Betreibern, welche unter die KRITIS-Verordnung fallen, konnte ein breites Wissen darüber aufgebaut werden, inwiefern die Umsetzung der Anforderungen die Sicherheit in den Unternehmen nachhaltig verbessert hat, oder ob es nur das Ziel war, die gesetzlichen Anforderungen mit minimalen Aufwand zu erfüllen.
Hierbei stelle ich die These auf, dass Unternehmen, welche sich bisher noch nicht mit IT-Sicherheit beschäftigt haben, dies trotz des Gesetzes auch in Zukunft nur begrenzt tun werden.
Vielmehr werden diese Unternehmen den Minimalansatz wählen, um die nötigen Nachweise liefern zu können, ohne einen allgemeinen Prozess zur stetigen Verbesserung einzuführen.
Wir würden daher gerne anregen, die folgenden Forschungshypothesen, welche sich aus dem Wissen bei der Betrachtung der bisher durchgeführten Prüfungen wie auch Diskussionen im Rahmen der Branchenarbeitskreise ergeben haben, einmal genauer zu prüfen:
- Hypothese 1: Die Umsetzung des BSIG führt zu einer besseren Akzeptanz der IT-Sicherheit in den Unternehmen.
- Hypothese 2: Unternehmen, die sich bereits seit Einführung des Gesetzes mit dem Thema beschäftigen, messen der IT-Sicherheit einen höheren Stellenwert zu.
- Hypothese 3: Eine (fälschlicherweise oft als Nachweis genutzte) Zertifizierung bringt nicht zwangsläufig Vorteile für den Bereich kritische Infrastrukturen, da gegebenenfalls die falsche Zielsetzung verfolgt wird.
- Hypothese 4: Unternehmen, die bisher nicht viel für IT-Sicherheit getan haben, werden auch durch das aktuelle IT-Sicherheitsgesetz nicht ermuntert, in Zukunft viel dafür zu tun.
[1] https://www.esmt.org/sites/default/files/dsi_ipr_cybersicherheit_2018-2020_0.pdf
[2] Normale Katastrophen. Die unvermeidbaren Risiken der Großtechnik von Charles Perrow
[3] Kritische Infrastrukturen aus Sicht der Bevölkerung