Heiß Diskutiert
Das IT-Sicherheitsgesetz und seine Folgen
Am Freitag, den 12.06.2015 hat der Bundestag das derzeit viel diskutierte IT-Sicherheitsgesetz verabschiedet. Ab seiner Inkraftsetzung haben die als „kritische Infrastrukturen“ definierten Organisationen zwei Jahre Zeit, die Anforderungen dieses Gesetzes umzusetzen. Krankenhäuser sollten sich davor eigentlich nicht fürchten müssen, denn gewisse Sicherheitsstandards sollten per se umgesetzt sein, meint Ingrid Dubois, Auditorin und IT-Sicherheitsberaterin und Partner im Team IT-Grundschutz und Team Information Security. Dennoch wird es einige Herausforderungen zu meistern geben.
Report: Marcel Rasch
Noch eine Diskussionsgrundlage
„Zunächst bleibt festzuhalten: Das IT-Sicherheitsgesetz soll Rahmenbedingungen schaffen, nicht mehr und nicht weniger“ meint Ingrid Dubois. Dennoch ist es ein Gesetz und keine Richtlinie. Tritt es in Kraft, müssen alle betroffenen Organisationen diesem Gesetz Folge leisten. Verstöße dagegen sind nun bußgeldbewehrt. Die Sanktionierung kam erst mit der letzten Änderung kurz vor Verabschiedung des Gesetzentwurfs in das Gesetz.
Welche Organisationen im Einzelnen unter dieses Gesetz fallen, sei noch nicht genau spezifiziert, erläutert Dubois. Fest steht, dass es ausgewählte Organisationen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen sein werden. Derzeit wird über die Anzahl von wahrscheinlich 2.000 betroffenen Organisationen gesprochen. Diese müssen zukünftig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und/oder der Bundesnetzagentur (BNetzA) nachweisen, dass die Anforderungen des Gesetzes umgesetzt sind. Dazu zählen unteranderem die Mindestanforderungen an Informationssicherheit. Standards, die diesen Mindestanforderungen zugrunde liegen, sind entweder bereits etablierte Sicherheitsstandards oder branchenspezifische Maßnahmenkataloge, die in enger Zusammenarbeit mit dem BSI erarbeitet werden können. „Das IT-Sicherheitsgesetz ist ein Artikelgesetz und ergänzt beziehungsweiseändert mehr als ein halbes Dutzend Gesetze“ erklärt die IT-Sicherheitsberaterin. Dazu zählen zum Beispiel: das BSI Gesetz, das Atomgesetz, das Energiewirtschafts- und das Telekommunikationsgesetz.
Die Idee
Als so genannte „Betreiber kritischer Infrastrukturen“ sind Organisationen definiert, die eine besondere gesellschaftliche Verpflichtung haben, weil sie z.B. einen Versorgungsauftrag haben. „Leider gehen viele Organisationen immer noch viel zu locker mit ihrer IT und den damit verarbeiteten Daten um“ meint Dubois und zeigt gleichzeitig Verständnis „Ein Krankenhaus zum Beispiel funktioniert nicht ohne die Unterstützung von IT. Für den Arzt ist IT zunächst Mittel zum Zweck und so nutzt er sie auch. Wir können nicht erwarten, dass er an jedem Gerät zuerst ein Passwort eingibt, um es nutzen zu können. Und auch der Patient kann in bestimmten Situationen nicht erst darauf warten.“
Insofern stellt sich die Frage, ob die bisher üblichen Methoden der IT Sicherheit die richtigen sind. Wie stellt man sicher, dass derjenige, der Zugriff auf bestimmte Daten haben darf und muss, diesen auch gewährt bekommt, ohne dass es für die Beteiligten zu kompliziert wird? Gleichzeitig muss garantiert sein, dass nicht jeder aus dem Pflegepersonal die komplette Anamnese eines Patienten einsehen kann. Gewisse Daten müssen speziell geschützt werden. „Dies ist eine Frage, mit der sich die IT-Sicherheit in Zukunft näher beschäftigen muss und auf die es Antworten braucht“ so Dubois.
Was ändert sich für die Betroffenen?
„Kleinere Organisationen werden von diesem Gesetz höchstwahrscheinlich gar nicht betroffen sein, wenn sie nicht als kritische Infrastruktur eingestuft sind. So wird das Kreiskrankenhaus ‘um die Ecke‘ sich wahrscheinlich nicht mit den Forderungen auseinandersetzen müssen, ein Universitätsklinikum aber schon“ beruhigt Dubois.
Eine der Forderungen ist zum Beispiel der Aufbau einer Kommunikationsstruktur in Form einer zentralen Meldestelle, die 24 Stunden am Tag besetzt sein muss und bei der festgelegte Ansprechpartnern eng mit dem BSI oder der Bundesnetzagentur kommunizieren. Des Weiteren gibt es ein Mindestsicherheitsniveau, das nachweislich umgesetzt werden muss und den IT-Grundschutz des BSI oder die Umsetzung allgemein anerkannter Standards umfasst, zu denen auch die ISO/IEC 27001 gehört. Der geforderte Nachweis wird in Form einer regelmäßigen, alle zwei Jahre durchzuführenden Prüfung erbracht. Die Prüfung darf nur von zugelassenen Auditoren durchgeführt werden. „Es gibt viele kritische Stimmen gegen dieses Gesetz“ gibt die IT-Sicherheitsberaterin zu und gesteht „Ob das Gesetz als Gesetz das richtige Mittel ist, kann ich nicht beurteilen. Es wäre aber schön, wenn das Sicherheitsbewusstsein einiger Organisationen dadurch sensibilisiert und gestärkt würde.“
PROFIL:
Frau Dubois ist spezialisiert auf die Bereiche Informationssicherheit, Datenschutz und Business Continuity. Sie ist als Auditorin und Gutachterin zugelassen, um die Umsetzung entsprechender Maßnahmen und Vorschriften nach nationalen und internationalen Standards zu prüfen. Seit 2004 leitet sie dubois it-consulting gmbh. Zuvor hat sie in unterschiedlichen Branchen und für mehrere Unternehmen in der Anwendungsentwicklung, der Systemadministration und der Beratung gearbeitet.
19.06.2015