Aktuelles

Sie haben KRITIS! Zum Entwurf eines neuen IT-Sicherheitsgesetzes

schließen

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Das Finanz-, Geld- und Versicherungswesen mit Banken, Versicherungen, Finanzdienstleister und Börsen gehört natürlich dazu:



Damit ist einerseits der im Februar 2014 neu gefasste Umsetzungsplan „UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen - Grundlagen und Ziele -“ relevant. [1] Andererseits ist der im Rahmen der Digitalen Agenda der Bundesregierung [2]  zu sehende Entwurf eines IT-Sicherheitsgesetzes vom August 2014 eine weitere Regelung. Dieser gilt als in seiner Wirkung umstrittene Regelung [3] mit neuen Meldepflichten und Aufsichtselementen. [4]

 

Wesentliche Eckpunkte des IT-Sicherheitsgesetzes

  • Das Gesetz betrifft alle „Betreiber kritischer Infrastrukturen“. Welche dies sind, soll, gemäß § 10 Abs. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, das Bundesministerium des Innern in einer Rechtsverordnung bestimmen. Hierzu hat es unter anderem zuvor Vertreter betroffener Wirtschaftsverbände anzuhören.
  • Der Entwurf sieht eine Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme vor. Die Meldungen sollen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen, wobei eine pseudonyme Meldung grundsätzlich ausreicht. Eine namentliche Nennung soll allerdings erforderlich sein, wenn die sogenannte „Kritische Infrastruktur“ ausfällt oder gestört wird.
  • Weiterhin sollen Unternehmen innerhalb eines Zeitraums von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen. Konkret sind hier die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen in der Diskussion.
  • Vorgesehen ist auch eine Informationspflicht bei Systemstörungen für bestimmte Unternehmen und Institutionen, bei denen ein Ausfall nicht nur für den Datenschutz weitreichende Folgen haben könnte. Neben Banken, Energienetzen und Krankenhäusern werden hier voraussichtlich auch Verwaltungsbehörden und Telekommunikationsnetze betroffen sein.
  • Schließlich soll die Zuständigkeit des Bundeskriminalamts (BKA) auf zahlreiche Cyberdelikte ausgeweitet werden, für die bislang die Länder zuständig waren. [5]

 

Neue Aufsicht

  • Mehrfach wird im Entwurf dem Ziel, die Bedeutung und Kompetenzen des BSI zu stärken, Rechnung getragen. Eine Säule dieses Konzepts stellt die Etablierung des BSI als Aufsichtsbehörde für die oben genannten Maßnahmen der Unternehmen dar.
  • Der Entwurf sieht in diesem Zusammenhang weiter eine Verpflichtung der Unternehmen vor, dem BSI mindestens alle zwei Jahre eine Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Daneben soll das BSI im Falle von Sicherheitsmängeln auch deren unverzügliche Beseitigung verlangen können. [6]

 

Hosting im Trend

Aufgrund der damit insgesamt steigenden Anforderungen ist für afb neben der innovativen Weiterentwicklung von Business-Funktionalitäten die IT-Sicherheit ein Fokusthema. 90% unserer Kunden nehmen auch Dienstleistungen von afb in Bezug auf den Betrieb in Anspruch. Selbstverständlich orientieren wir uns zur Erhöhung von Transparenz und Sicherheit an anerkannten Best Practice Standards wie z. B. ITIL, COBIT, BSI- und ISO-Normen.

Damit sichern sich unsere Kunden einerseits die Professionalität, derer es bedarf, um stets „state of the art“ zu bleiben, und andererseits Freiräume, um sich voll auf das anspruchsvolle Kerngeschäft des Retail-Finance- und Leasinggeschäfts zu konzentrieren.

Share