Q_PERIOR Audit & Risk Newsletter - REVISIONSWELT

SCHWERPUNKTTHEMASchwerpunktthemaIT-SicherheitsgesetzAnbieter von Telekommunikationsdiensten und kritischen Infrastrukturen sollen zukünftig IT-Sicherheitsvorfälle melden. Das geht aus dem geplanten „Gesetz zur Erhöhung der Sicherheit informationstechnischerSysteme“ hervor, das als Entwurf vom Bundesministerium des Inneren (BMI) am 05.03.2013veröffentlicht wurde.Laut BMI sind bereits heute 50 Prozent aller Unternehmen in Deutschland abhängig vom Internet. Mit derzunehmenden Vernetzung erhöhen sich auch die Bedrohungspotenziale. Cyber-Attacken nehmen stetig zuund treffen Unternehmen quer durch alle Branchen. Dabei bemerken die Betriebe aber oft gar nicht, dasssie in das Visier von Kriminellen geraten sind. Besonders gefährlich wird es dann, wenn sicherheits- undwettbewerbsrelevante Unternehmensdaten gestohlen werden oder für die Bevölkerung kritische Infrastrukturenbetroffen sind. Interpol schätzt, dass der gesamte Schaden durch Computerkriminalität in Europajährlich rund 750 Millionen Euro beträgt.Das IT-Sicherheitsgesetz soll den Schutz der Integrität und Authentizität datenverarbeitender Systeme verbessernund an die gestiegene Bedrohungslage anpassen.Nationale UmsetzungGültigkeit• Das Gesetz hat Gültigkeit für die Branchen Energie, Informationstechnik und Telekommunikation,Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die vonhoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder Beeinträchtigungnachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheiteintreten würden.• Mögliche Merkmale für die Einordnung einer Einrichtung, Anlage oder eines Teils davon als kritischeInfrastruktur sind insbesondere der Versorgungsgrad, die Auswirkungen eines Ausfalls bzw. einer Beeinträchtigungauf die Bevölkerung oder auf andere kritische Infrastrukturen, zeitliche Aspekte (Schnelligkeitund Dauer des Ausfalls bzw. der Beeinträchtigung), Marktbeherrschung sowie die Auswirkungauf den Wirtschaftsstandort.Angemessene Mindestanforderungen an IT-SicherheitBetreiber kritischer Infrastrukturen sind verpflichtet, innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes,angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutzderjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeitder von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind:• Die Sicherungsmaßnahmen müssen dem Stand der Technik der jeweiligen Branche entsprechen.• Die Maßnahmen gelten als angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu denFolgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Infrastruktur steht.• Branchen können brancheninterne Standards entwickeln, die das Bundesamt für die Sicherheit in derInformationstechnik (BSI) als Konkretisierung der gesetzlichen Verpflichtung anerkennt.• Die Mindestanforderungen müssen von den Betreibern in Sicherheits- und Notfallkonzepte gegossenwerden, um deren Umsetzung zu dokumentieren.• Maßnahmen sind zum Beispiel: Information Security Management (Sicherheitsorganisation, IT-Risikomanagement, etc.), BCM (Business Continuity Management), etc.Q_PERIOR Audit & Risk Newsletter – 2013 – Ausgabe 4/63