Kaum eine Nachricht hat die IT-Welt in diesem Jahr so bewegt wie das Inkrafttreten des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz. Auch wenn zunächst scheinbar „nur“ Betreiber kritischer Infrastrukturen (KRITIS) betroffen sind, fallen vermeintlich mehr Unternehmen unter das IT-Sicherheitsgesetz als allgemein angenommen. Dazu aber gleich mehr. Das IT-Sicherheitsgesetz beinhaltet selbst keine eigenen Paragraphen. Vielmehr präzisiert und erweitert das IT-Sicherheitsgesetz gleich mehrere bestehende Gesetze: das BSI-Gesetz, das Telemediengesetz und das Telekommunikationsgesetz. Zudem auch für die IT vermutlich nicht ganz so relevante Gesetze wie das Atomgesetz, das Energiewirtschaftsgesetz, das Bundesbesoldungsgesetz und das Bundeskriminalgesetz.
Auf eine gemeinsame Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) wurde daraufhin eine eigene Internetplattform zum Schutz kritischer Infrastrukturen KRITIS erstellt. Dort findet man diverse Informationen zum sogenannten UP KRITIS. Unter anderem auch eine Definition, welche Unternehmen unter das IT-Sicherheitsgesetz fallen:
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Das IT-Sicherheitsgesetz kann auch Sie treffen!
Auch wenn Sie heute vielleicht noch nicht zu diesen Organisationen oder Einrichtungen gehören, die unter diese Definition einer kritischen Infrastruktur fallen, könnte sich das sehr schnell ändern. Denn die Politik könnte jederzeit beschließen, den Anwendungsbereich weiter zu fassen. So könnte es dazu kommen, dass auch Lieferanten von unter KRITIS fallenden Organisationen und Einrichtungen ebenfalls unter das IT-Sicherheitsgesetz fallen. Diese Ausweitung ist bei anderen Gesetzen durchaus schon gängige Praxis.
Inzwischen wurden für manche Bereiche auch die zu treffenden Maßnahmen konkretisiert. Beispielsweise seitens der Bundesnetzagentur. Diese Behörde hat einen IT-Sicherheitskatalog gemäß §11 Absatz 1a EnWG erstellt. Dieser Paragraph des Energiewirtschaftsgesetzes wurde, wie oben erwähnt, durch das IT-Sicherheitsgesetz geändert. Dort wird der Einsatz eines ISMS vorgeschrieben, zu finden auf Seite 8:
“Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme, die für einen sicheren Netzbetrieb notwendig sind, ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. Zur Erreichung der Schutzziele ist stattdessen ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Einen solchen ganzheitlichen Ansatz stellt ein sog. Informationssicherheits-Managementsystem (ISMS) dar.“
Die Dokumentationssoftware Docusnap kann Ihnen bezüglich der Einhaltung des IT-Sicherheitsgesetzes bzw. beim Aufbau des geforderten ISMS optimale Unterstützung bieten. Die notwendige Datenbasis bei der durchzuführenden Strukturanalyse im Rahmen des Aufbaus eines ISMS kann mittels Hard- und Softwareinventarisierung von Docusnap bereitgestellt werden. Fehlende Datenfelder für die Hinterlegung weiterer Informationen, wie z.B. die Dokumentation von Abhängigkeiten zwischen den Systemen, können mittels Customizing ebenfalls in Docusnap erstellt werden. Sollten für zukünftige Anforderungen weitere Datenfelder benötigt werden, bietet Docusnap dafür die notwendige Flexibilität. Die meisten Bedürfnisse lassen sich somit abbilden.
Mit Docusnap können Sie beispielsweise auch den Anforderungen aus der beschriebenen Risikoanalyse für eine Krankenhaus-IT recht leicht nachkommen. Auch wenn Sie selbst nicht Betreiber eines Krankenhauses sein sollten, diese Analyse könnte in Zukunft vielleicht auch für Ihren Wirtschaftszweig gelten. In dem Dokument werden unter anderem folgende Fragen zur Risikoanalyse gestellt, Seite 16ff:
Frage: Verfügen die IT-Zuständigen Ihrer Einrichtung über einen umfassenden Überblick über die IT-Infrastruktur und deren Komponenten?
Dies können Sie mit Docusnap über die Inventarisierung Ihrer IT-Landschaft erledigen. Bei Bedarf auch automatisiert und mit zeitgesteuerter, regelmäßiger Aktualisierung der IT-Systeme Ihrer IT-Infrastruktur.
Frage: Sind die IT-Systeme und IT-Anwendungen Ihrer Einrichtung hinreichend gegen unberechtigte Zugriffe geschützt?
Auch dies können Sie relativ einfach mit der Berechtigungsanalyse in Docusnap beantworten. Zugriffsrechte auf Windows-Dateiserver, Microsoft Exchange Server und SharePoint Umgebungen können mit der Dokumentationssoftware Docusnap leicht analysiert und dokumentiert werden.
Frage: Liegen Notfallkonzepte für die kritischen IT-Anwendungen Ihrer Einrichtung vor?
Dies kann ebenfalls mit Docusnap erledigt werden. Mit den IT-Konzepten können Sie auch Ihr Notfallkonzept erstellen und jederzeit aktuell halten.
Das IT-Sicherheitsgesetz zeigt auf jeden Fall einen recht deutlichen Trend: IT-Sicherheit rückt (endlich) stärker in den Focus, wozu natürlich auch die Enthüllungen eines Edward Snowden ihren Beitrag geleistet haben. Deshalb ist durchaus mit weiteren Maßnahmen seitens der Politik zu rechnen. Ein ordentlicher IT-Betrieb in Form eines ISMS wird dabei im Mittelpunkt stehen, wofür die IT-Dokumentation eine tragende Säule darstellt.
Werden Sie deshalb noch heute aktiv, beginnen Sie damit Ihre IT-Dokumentation aufzubauen. Damit Sie gar nicht erst in die Situation kommen, in der Sie nur noch reagieren können bzw. müssen. Somit können Sie im Falle einer Prüfung schon vorbereitet sein. Sie könnten sogar bereits eine gewisse Historie der IT-Dokumentation nachweisen. Damit zeigen Sie, dass Sie das Thema ernst nehmen und Sie sich Ihrer Verantwortung bewusst sind. Bereiten Sie sich schon vorab auf das IT-Sicherheitsgesetz vor!