IT-Sicherheitsgesetz: Wer was wann zu melden hat
Im Juli 2015 ist das IT-Sicherheitsgesetz ist in Kraft getreten, doch erst jetzt folgt die Rechtsverordnung, wer überhaupt IT-Sicherheitsvorfälle melden muss. Rund 700 "Anlagen" sollen in Deutschland von der Verordnung betroffen sein.
(Bild: BSI)
Mit dem am 25. Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die "Cybersicherheit". Die wichtigen Betreiber kritischer Infrastrukturen wurden damit verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wer dazu gehört und melden muss, wird in einer Messtabelle ermittelt, die vom BSI, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis festgelegt wurde. Diese Tabelle wurde von Stefan Paris, dem für IT- und Cybersicherheit zuständigen Unterabteilungsleiter des Bundesinnenministeriums nun in Berlin vorgestellt. 70 deutsche Rechenzentren und Server-Farmen gehören zu den Meldepflichtigen.
500.000-er-Regel
Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden. Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000-er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.
Im Energiesektor liegt der Schwellenwert beispielsweise bei 450 MW pro Jahr bei der Stromerzeugung beziehungsweise -Speicherung, bei der Gasversorgung bei 5190 GWh/Jahr, bei einer Raffinerie bei 620.000 Tonnen Heizöl pro Jahr, beim Tankstellennetz bei 335.000 Abgabestellen. Auf dieser Berechnungsgrundlage stellt der Energiesektor mit 320 Anlagen oder Betrieben die weitaus größte Zahl an Installationen mit meldepflichtiger IT-Sicherheit.
An zweiter Stelle steht der Bereich Wasser mit der Trinkwasserversorgung und der Abwasserbeseitigung. Kläranlagen, die 500.000 Bürger bedienen, oder Wasserwerke, die 21,9 Millionen m³ pro Jahr bereitstellen, aufarbeiten oder weiterleiten, müssen ihre IT-Probleme melden. Insgesamt fallen 230 Anlagen unter diese Regelung. Im Bereich der Ernährung sind alle Anlagen betroffen, die 334.000 Tonnen Speisen im Jahr erzeugen, lagern oder verteilen, der flüssige Schwellwert liegt bei 274,5 Millionen Getränke. Auf diese Weise kommen 70 sicherheitskritische Anlagen zusammen.
Die Informationstechnik im engeren Sinne bildet zahlenmäßig das Schlusslicht der Installationen. Ganze 30 Rechenzentren, Server-Farmen und Trustcenter werden meldepflichtig. Wie Referatsleiter Andreas Reisen betonte, konnte in den meisten Fällen nicht das 500.000-er Modell zur Berechnung des Schwellenwertes herangezogen werden. Dieses Modell funktioniert noch in den Trustcentern: Wer 500.000 personenbezogene Zertifikate verwaltet oder analog dazu 10.000 TLS-Zertifikate ausgegeben hat, wird meldepflichtig.
Bei den Rechenzentren betrifft es alle Installationen mit einer Jahresdurchschnittsleistung von 5 Megawatt, bei Server-Farmen ab durchschnittlich 25.000 laufenden Instanzen und bei den Content-Lieferern sind diejenigen meldepflichtig, die mehr als 75.000 Terabytes im Jahr ausliefern.
Neben diesen 30 Anlagen gibt es die Telekommunikationsbetreiber, die die Kommunikationsnetze und Datennetze sicherstellen. Hier verweist die geplante Rechtsverordnung auf das Telekommunikationsgesetz (TKG), in dem die Meldepflichten für diese Branche bereits geregelt sind und macht nur wenige Vorgaben. Der Schwellenwert für alle Netze und Übertragungsleistungen liegt bei 100.000 Teilnehmern oder 75.000 Terabytes pro Jahr, bei DNS-Servern bei durchschnittlich 2,5 Millionen IP-Abfragen pro Tag beziehungsweise bei 250.000 Domains, für die der Server autoritativ ist. Über Abfragen bei der Bundesnetzagentur wird derzeit untersucht, wie viele TK-Anlagen damit insgesamt unter die Meldepflicht fallen.
Auch in den Bereichen Gesundheit sowie für das Finanz- und Versicherungswesen sind die Verhandlungen über die Schwellenwerte noch nicht abgeschlossen. Hier sollen bis Ende 2016 die Verordnungen festgeklopft werden. Die jetzt bekannt gemachten Details zu den ersten vier Branchen werden an die Bundesländer und Branchenverbände übermittelt, eine Expertenanhörung soll folgen.
Sechs Monate Übergangszeit
Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen haben die Betreiber jeweils sechs Monate Zeit, die Vorfalls-Meldepflicht beim BSI zu realisieren. Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem Kostenaufwand von 660 Euro für jede Schadensmeldung.
Weitere zwei Jahre bleiben den Betreibern sicherheitskritischer Anlagen, die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. Sie haben dabei Anspruch auf Beratungsleistungen von BSI-Fachleuten. Wie Paris betonte, wäre Deutschland damit Ende 2018 so weit, die IT-Meldepflicht in allen kritischen Sektoren in Kooperation mit der Wirtschaft eingeführt zu haben. Sein Referatsleiter Andreas Reisen führte aus, dass solche Meldepflichten künftig dank der Schwellenwertmethode einfach erweitert werden können: "Angenommen, wir bekommen autonome Autos. Sowie ein Betreiber mehr als 500.000 Personen transportiert, wird er meldepflichtig." (anw)
