Zuletzt aktualisiert: Mo, 28. Februar 2022
Jeder, der IT-Verantwortung in einem Unternehmen oder einer Organisation trägt, hat zumindest schon mal vom IT-Sicherheitsgesetz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gehört. In diesem Zusammenhang fallen dann auch Begriffe wie KRITIS und eben „Kritische Infrastrukturen“.
Wenn es ein IT-Sicherheitsgesetz gibt, für wen gilt das? Und was ist dabei zu beachten? Und müssen sich auch Privatunternehmen daranhalten? Oder macht es auch für Privatunternehmen Sinn, sich nach dem BSI-IT-Sicherheitsgesetz zu orientieren?
Werfen wir einen Blick in das BSI-IT-Sicherheitsgesetz mit der aktuellen Überarbeitung aus dem Jahr 2021, inwieweit Unternehmen und Organisationen davon betroffen sind oder gar davon profitieren können.
Der Preis der Digitalisierung
Es wird digitaler. Alles rund um uns herum wird zunehmend digitalisiert. Dokumente, Informationen und vor allem auch persönliche Daten werden von Unternehmen und Organisationen nicht mehr in dicken Aktenordnern abgelegt, sondern der digitalen Verarbeitung am Computer zugeführt. Das gibt es schon lange.
Aktuell und im Vergleich dazu relativ neu sind die ständigen Bedrohungen, die vor allem durch das Internet ständiger Begleiter des digitalen Alltags geworden sind. Wie in allen Bereichen des Lebens werden Gefahren gerne so lange ignoriert, bis man selbst davon betroffen ist.
Das ist in der Welt der IT genauso wie beim Wandern oder Autofahren. Nicht jedem sind dabei die längst harsch an der Tür klopfenden Gefahren bewusst. In der IT-Welt reicht es eben schon, wenn die Gerätschaften oder das IT-Netzwerk mit dem Internet verbunden sind.
Der Mut zur Gefahr entsteht in der IT oft aus mehreren Gründen. Zum einen sind Sicherheitsvorkehrungen teuer. Das kann richtig aufs eh meist schon hart erkämpfte IT-Budget drücken. Ist dann auf Entscheidungsebene kein Bewusstsein oder Verständnis für die aktuellen Bedrohungen aus dem Internet vorhanden, kann das aufwändig ausgearbeitete Sicherheitskonzept schnell am Sanctus des Vorgesetzten scheitern.
Zum anderen ändern sich die Arten der Bedrohungen derart schnell, dass auch alteingesessene IT-Administratoren nicht mehr ständig auf dem neuesten Stand bleiben. Vor allem, wenn das Netzwerk sich seit geraumer Zeit nicht großartig verändert hat und „damals“ ein adäquater Sicherheitsstandard eingeführt wurde. Wie bereits gesagt: Die Gefahren und Bedrohungen speziell aus dem oder im Internet ändern sich nahezu täglich.
Für wen ist das IT-Sicherheitsgesetz gültig?
Verpflichtend sind die Paragrafen des BSI-IT-Sicherheitsgesetzes für Kritische Infrastrukturen. Andere Unternehmen und Organisatoren können jedoch das Grundgerüst nutzen, um die Sicherheitseinrichtungen im eigenen Unternehmen auf ein aktuelles Sicherheitsniveau zu heben. Dabei werden sehr viele Aspekte beachtet, die sonst unter Umständen untergehen oder übersehen werden könnten.
Was versteht man unter „Kritische Einrichtungen“?
Seit dem 28. Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft. Das Bundesamt für Sicherheit in der Informationstechnik verpflichtet in diesem Gesetz Betreiber kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse, IT-Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen. Das Ziel des BSI ist es, Sicherheitslücken in IT-Systemen jederzeit schnellstmöglich zu schließen.
Kritische Einrichtungen bzw. Infrastrukturen sind nach der KRITIS-Strategie aus dem Jahr 2009 in folgende neun Sektoren eingeteilt.
Quelle: BSI – KRITIS und regulierte Unternehmen/Kritische Infrastrukturen/Allgemeine Info zu KRITIS
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Wasser (Trink- und Abwasser)
- Ernährung
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur
Kritische Infrastrukturen (alle genannten Sektoren außer Staat und Verwaltung sowie Medien und Kultur) sind genauso Angriffsziele für Cyber-Attacken wie auch andere Unternehmen. Sie besitzen jedoch ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft. Die Absicherung der IT-Systeme, die von KRITIS-Betreibern eingesetzt werden, ist hochkomplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.
Ab wann eine Infrastruktur als kritische Einrichtung zählt, wird von einem Schwellenwert (Anzahl der zu versorgenden Personen) festgelegt. Da sich gerade solche spezifischen Bestimmungen und Definitionen gerne ändern können, verweisen wir an dieser Stelle auch direkt an die Informationsseite des BSI zu diesem Thema: BSI – Kritische Infrastrukturen/KRITIS FAQ
Orientierungshilfe und Unterstützung
Sämtliche relevante Informationen zum Thema IT-Sicherheitsgesetz 2.0 findet man auf der Webseite des BSI: Webseite Bundesamt für Sicherheit in der Informationstechnik
Wie so oft ist die Umsetzung von Vorgaben zur IT-Sicherheit keine triviale Aufgabe. Vor allem wird die Einhaltung des BSI-IT-Sicherheitsgesetzes mit einem Prüfungsnachweis gemäß §8a Abs. 3 BSIG in Form regelmäßiger Audits gefordert. Das bedeutet nicht nur, dass die Umsetzung durchzuführen ist, sondern dass auch in regelmäßigen Abständen die Überprüfung erneut durchzuführen ist. Dies wird in §8f Abs. 1 definiert, der besagt, dass mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit beim Bundesamt vorzulegen ist.
Umsetzung in der Praxis
Ähnlich wie bei anderen Unternehmen ist auch in den Bereichen der kritischen Einrichtungen die IT in den letzten Jahren stark gewachsen. Aus dem übersichtlichen, kleinen Netzwerk von damals wurde ein fast unüberschaubares Konstrukt geschaffen, das einer ständigen Veränderung unterliegt. Mit manuellen Mitteln ist dem nahezu nicht beizukommen. Darum setzen professionell geführte IT-Abteilung schon als Basis für jedwede Grundlage zur IT-Sicherheit auf eine genaue Dokumentation und eine Inventarisierung aller eingesetzten IT-Systeme.
Als ersten Schritt gilt es festzustellen, welche Geräte im eigenen IT-Netzwerk (und auch in den einzelnen Standorten) im Einsatz sind. Nur mit diesen Informationen ist überhaupt erst eine lückenlose IT-Sicherheit möglich. Verwendet die IT-Abteilung hierfür eine professionelle Dokumentationssoftware wie Docusnap, kann dies leicht mittels eines Berichts ausgelesen werden. Docusnap verfügt durch die automatische Inventarisierung immer über die aktuellen Daten aller erreichbaren Geräte im Netzwerk. Dort werden nicht nur Geräteinformationen wie Name und IP-Adresse gespeichert, sondern auch die für die IT-Sicherheit wichtige Information der Software- und Patch-Stände oder etwa der eingesetzten Firmware. Denn nur so besteht die Möglichkeit, das eigene IT-Netzwerk mit all seinen Komponenten auf veraltete Versionen oder notwendige Patches zu überprüfen.
Wichtig bei der Umsetzung ist in jedem Fall eine umfassende Dokumentation. Dabei sind nicht nur die vorhandenen Geräte wichtig, sondern auch viele andere Aspekte rund um die IT. Dazu gehören die folgenden Punkte unweigerlich mit dazu:
- Betriebs- und Notfall-Dokumente
- Netzwerk- und Kommunikationspläne
- Lizenz-Management
- Berechtigungsanalyse
Basis zur Umsetzung mit Dokumentationssoftware
Grundanforderung an eine gute Dokumentationssoftware sind:
- Regelmäßig und vollständige Inventarisierung
- Automation von Inventarisierungs- und Dokumentationsaufgaben
- Zentrale Datenhaltung
- Benutzerspezifischer Zugriff auf die Daten
- Individuelle Anpassbarkeit zur Darstellung von Daten, Plänen und Listen
Erst, wenn alle relevanten Daten verfügbar sind, können auch Audits, wie im BSI-IT-Sicherheitsgesetz unter §8 gefordert, durchgeführt werden.
Wie kann Docusnap helfen
Mit Docusnap werden alle relevanten Informationen aus dem Netzwerk automatisch erfasst. Zusätzlich lassen sich eben auch andere wichtige Informationen manuell ergänzen. Damit sind nicht nur die Geräte in einer zentralen Datenbank hinterlegt, sondern können auch zum Beispiel die erforderlichen Lizenzen zugewiesen werden. Mit der professionellen Dokumentationssoftware wird zwar die Umsetzung des BSI-Sicherheitsgesetzes auch nicht zum Kinderspiel. Es löst aber grundlegende Probleme bei der Beschaffung von Informationen über die eigenen IT-Anlagen. Ist die Basis bekannt, kann die Umsetzung nach dem BSI-IT-Sicherheitsgesetzt begonnen werden.
Ebenso hilfreich ist Docusnap, wenn IT-Dienstleister die Verwaltung und den Aufbau der eigenen IT-Landschaft übernehmen sollen. Auch diese profitieren von den zentral gesammelten Daten, die einen schnellen Überblick über die eingesetzte IT verschaffen.
Auch wenn eine Umsetzung nach dem BSI-IT-Sicherheitsgesetz erfolgreich umgesetzt werden konnte, übernimmt Docusnap weiterhin eine wichtige Aufgabe. Da sich mit der Zeit sowohl Strukturen als auch Gerätschaften in Netzwerken ändern, wird von Docusnap mittels eines automatischen Netzwerk-Scans die Datenbank stets mit den aktuellsten Daten gespeist. Das bedeutet vor allem für die wiederkehrenden Audits eine enorme Erleichterung, da diese relativ einfach in Berichtsform (oder als Excel-/Word-/PDF-Export) mit den aktuellen Daten generiert werden können.
Fazit
Stimmt das Fundament nicht, wird auch der Aufbau zu einem wackligen Konstrukt. Organisationen, die nach dem BSI-IT-Sicherheitsgesetz gefordert sind, eine umfassende IT-Sicherheitsstrategie aufzubauen, benötigen eine solide Grundlage mit allen benötigten Informationen rund um die eigenen IT. Mit der passenden professionellen Dokumentationslösung, wie zum Beispiel Docusnap, machen Sie sich und dem eigenen IT-Team das Leben sehr viel leichter. Und sicherer.
Wenn Sie Docusnap gerne selber testen möchten, bieten wir Ihnen die Softwarelösung unter www.docusnap.com für 30 Tage kostenlos an.