11. Juli 2015
IT-Sicherheit
Sicherheit – aber nur solange die Nutznießer die Entscheidungsträger sind
- Kürzlich gehackt: Der Bundestag | Foto: Hernán Piñera - CC BY-SA 2.0
Im Interview für eGovernment Computing, „Mehr Schutz für die Behörden-IT“, erklärte Staatssekretärin Brigitte Zypries (SPD), warum es für das kürzlich vom Bundestag beschlossene IT-Sicherheitsgesetz nicht entscheidend ist, ob die Bundesbehörden unter dem Begriff „Kritische Infrastrukturen“ (KRITIS) gefasst werden oder nicht. Die Bundesverwaltung unterliegt demnach keinen Pflichten bezüglich Mindeststandards zum Schutz der IT und auch keinen Meldepflichten über Sicherheitsvorfälle. Das wurde im Vorfeld des Beschlusses des IT-Sicherheitsgesetzes am 12. Juni 2015 nicht nur vom juristischen Standpunkt kritisiert.
Brigitte Zypries
Brigitte Zypries erklärte:
„[…] die wesentlichen Verpflichtungen des aktuellen IT-Sicherheitsgesetzes gelten für die Bundesverwaltung schon seit Jahren. Bereits 2007 wurde vom Kabinett der Umsetzungsplan Bund zum Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland beschlossen. Und bereits 2008 erfolgte eine Novelle des BSI-Gesetzes. Bei dieser ging es in wesentlichen Teilen um die Ausweitung von Zuständigkeiten des BSI gegenüber der Bundesverwaltung. Insgesamt obliegen dadurch der Bundesverwaltung erhebliche Pflichten zur Absicherung ihrer IT-Systeme gegen Cyberattacken und auch eine Meldepflicht gegenüber dem BSI.“
Dies trifft zweifelsohne zu – allerdings nicht nur auf die Bundesverwaltung.
Zu den bereits besonders stark regulierten Branchen gehören in Deutschland u. a. die Banken und Kreditinstitute. § 25a, Absatz (1), Nr. 5 des Kreditwesengesetzes (KWG) schreibt den Finanzinstituten „die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme“ vor. Die Vorgaben des Kreditwesengesetzes finden weitere Konkretisierung in den Rundschreiben der BaFin. So heißt es in den Mindestanforderungen an das Risikomanagement (MaRisk) für Kreditinstitute und Finanzdienstleistungsinstitute (Rundschreiben 10/2012 (BA), Geschäftszeichen BA 54-FR 2210-2012/0002), AT 7.2 zur „technisch-organisatorischen Ausstattung“ unter anderem:
„[…] 2. Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
3. Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Hierfür ist ein Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren. Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen.[…]“
Auch auf die IT-Sicherheitsvorfälle bzw. Cyberattacken müssen sich die Kreditinstitute gemäß Vorgaben zur Notfallvorsorge angemessen vorbereiten. Im Absatz AT 7.3, Nr. 1, wird festgelegt, dass für Notfälle in zeitkritischen Aktivitäten und Prozessen Vorsorge zu treffen ist (Notfallkonzept).
„[…] Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen mitzuteilen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind festzulegen. Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.“
Im Kommentar zum Rundschreiben wird u. a. empfohlen, die Notfallkonzepte sowie die technisch-organisatorische Ausstattung an den „gängigen Standards“ zur Informationssicherheit (etwa ISO 27001) auszurichten. Die heute geltenden hohen Standards an Sicherheitskontrollen und relevanten technischen sowie informatischen internen Kontrollen bei den Banken konnten unter anderem durch konsequente Verfolgung und Überwachung der Umsetzung dieser Vorgaben durch die zuständige Regulierungsbehörde erreicht werden.
Finanz- und Kreditinstitute sind keine Ausnahme. Für viele der vom IT-Sicherheitsgesetz als „Kritische Infrastrukturen“ regulierten Branchen bestehen bereits Vorgaben zur Notfallvorsorge und/oder IT-Sicherheit – teilweise existieren bereits sogar entsprechende Meldepflichten für wesentliche Sicherheitsvorfälle auf deutscher und europäischer Ebene – wie für die Telekommunikationsbranche. Das IT-Sicherheitsgesetz macht bei diesen Branchen allerdings – anders als bei den Bundesbehörden – keine Ausnahme.
Die erfolgreichen Angriffe auf das Netz des Deutschen Bundestages machen deutlich, dass die Behörden ein ebenso interessantes Ziel von Hackern, Saboteuren oder ausländischen Geheimdiensten sein können wie die Privatwirtschaft. In welchem Umfang und welche Daten bei dem Hackerangriff entwendet wurden beziehungsweise inwieweit der Schutz der Bürger, der Wirtschaft und der Funktionsfähigkeit des Staates davon beeinträchtigt ist, wird noch untersucht.
Im selben Interview für eGovernment Computing konstatiert deswegen der Berufshacker und SYSS-Chef, Sebastian Schreiber:
„Meiner Auffassung nach stellt selbstverständlich auch ein leistungsfähiger, zuverlässiger Staatsbetrieb eine ganz zentrale Infrastruktur für die Bürger eines Landes, aber auch für dessen Wirtschaft dar. Insofern sind Ministerien und Behörden ebenfalls als Kritische Infrastrukturen zu bewerten. Hier sollten keine Ausnahmen gemacht, keine Rücksichten auf eventuelle Kompetenzstreitigkeiten genommen werden, wenn es um die Frage geht, wer hier wem ‚auf die Finger schaut‘.“
Als der Bundesinnenminister Thomas de Maizière (CDU) anlässlich der Gesetzesinitiative im Bundestag auf den Angriff auf die IT-Systeme des Bundestags einging, hinter welchen ausländische Geheimdienste vermutet wurden, sagte er: „[…] bin ich dafür, dass das gesetzlich dafür zuständige Bundesamt für Verfassungsschutz seine Hilfe anbietet.“ Es wäre ein Missverständnis, wenn das IT-Sicherheitsgesetz nur dann für die Behörden gelten würde, wenn die Entscheidungsträger zu den Nutznießern des Gesetzes gehören.
Links
Aleksandra Sowa
Leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Dozentin, Fachbuchautorin (u.a. "Management der Informationssicherheit", "IT-Revision, IT-Audit und IT-Compliance"). Im Dietz-Verlag erschienen: "Digital Politics - so verändert das Netz die Politik". Hier äußert sie ihre private Meinung. #Foto by Mark Bollhorst (mark-bollhorst.de)
Follow Me:
