Praxis

Das IT-Sicherheitsgesetz und Pflichten für KRITIS-Betreiber

fotohansel - Fotolia.com

Nach dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Mit der Digitalen Agenda will die deutsche Bundesregierung den digitalen Wandel aktiv begleiten und mitgestalten. Ein wichtiger Baustein ist das IT-Sicherheitsgesetz, das die Etablierung eines Mindestniveaus an IT-Sicherheit zum Gegenstand hat.

Davon betroffen sind Unternehmen, die kritische Infrastrukturen, sogenannte KRITIS, betreiben, wie etwa Unternehmen aus der Energie- und Wasserwirtschaft. Sie müssen ihre IT bis Mai 2018 nach dem Stand der Technik absichern, die Anpassungen dokumentieren und IT-Störungen bzw. Cyberangriffe melden.

Unterstützung bietet hier ein Dokumentenmanagement-System (DMS). Es erleichtert die Erstellung, Verbreitung und Archivierung von Dokumenten.

von Matthias Kunisch, Geschäftsführer der forcont business technology gmbh & Mitglied des Vorstandes des Cloud-EcoSystem e.V.

Mit dem IT-Sicherheitsgesetz sehen sich die Betreiber Kritischer Infrastrukturen (KRITIS), zu denen auch Unternehmen aus der Energie- und Wasserwirtschaft gehören, neuen Pflichten zur Erhöhung von Abwehrmaßnahmen sowie Nachweis- und Meldepflichten gegenüber. Zudem müssen KRITIS-Betreiber ein Informations-Sicherheits-Management-System (ISMS) einführen, mit dem sie Sicherheitsrisiken und IT-Störungen überwachen, steuern und melden können. Hierfür sind folgende Maßnahmen erforderlich:

  • die Erstellung eines Netzstrukturplans, der die schutzbedürftigen Komponenten des eigenen Netzes umfasst,
  • eine Schutzbedarfsanalyse,
  • die Bestellung eines IT-Sicherheitsbeauftragten und
  • der Erwerb eines Zertifikats, das die Konformität des ISMS mit der Norm ISO/IEC 27001 bestätigt.

Transparente Dokumentation der Maßnahmen

Wichtig ist die Dokumentation der vorgenommenen sicherheitsrelevanten Anpassungen. Ohne eine transparente Dokumentation laufen Unternehmen Gefahr, gegen Compliance-Richtlinien zu verstoßen. Sie müssen nachweisen, dass sie die Vorgaben des IT-Sicherheitskatalogs umgesetzt haben. Auch im Fall eines Cyberangriffs ist sauber zu dokumentieren, dass die IT-Systeme gemäß IT-Sicherheitsgesetz aufgestellt und geschützt sind und dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den Vorfall informiert wurde. Anderenfalls drohen empfindliche Bußgelder. Am einfachsten kommen Unternehmen der Dokumentationspflicht mit einem Dokumentenmanagement-System (DMS) nach.

Dokumente direkt im DMS erstellen

Allein bei der Einführung des ISMS und bei der Erarbeitung des Netzstrukturplans entstehen Unmengen von Dokumenten. Ohne DMS würden Unternehmen die Dokumente am PC erstellen und bearbeiten, ausdrucken, ggf. unterschreiben lassen, versenden und/oder in einer Akte ablegen bzw. einscannen und digital ablegen – ein zeitraubendes und fehleranfälliges Vorgehen. Effizienter ist die integrierte Dokumentenerstellung: Mitarbeiter erstellen die Dokumente direkt im DMS, speichern sie dort und versenden sie direkt aus dem System heraus an einen Adressaten wie das BSI.

Weiterhin sichert ein DMS die Aktualität von Dokumenten, indem sich Wiedervorlagen zur Überprüfung individuell einstellen lassen. So müssen KRITIS-Betreiber nicht nur ihre IT-Systeme in definierten Zeiteinheiten überprüfen, sondern auch die Menschen, die damit arbeiten. Insbesondere international tätige Unternehmen müssen die Daten ihrer Beschäftigten regelmäßig gegen die EU-Anti-Terror-Verordnungen oder EU-Sanktionslisten abgleichen. Auch hier sorgt ein DMS für Transparenz: Es zeigt auf, welcher Mitarbeiter wann kontrolliert wurde und wo die entsprechenden Dokumente hinterlegt sind.

Compliance-Richtlinien erfüllen

Selbstverständlich ist insbesondere bei gesetzlichen Vorgaben auf Compliance zu achten. KRITIS-Betreiber müssen gewährleisten, dass nicht nur Entwürfe und nachträgliche Veränderungen von Dokumenten vollständig dokumentiert und jederzeit nachvollziehbar sind, sondern auch wer die Dokumente erstellt bzw. verändert hat. Ein DMS speichert sämtliche Dokumentversionen samt Metadaten in der Historie – von der Bearbeitungszeit über den ausführenden Mitarbeiter bis hin zu den eigentlichen Änderungen.

Datenschutzbestimmungen einhalten

Beinhaltet ein Dokument persönliche Daten, sind die geltenden Datenschutzbestimmungen einzuhalten. Ein DMS bietet rechtskonforme Dokumentenvorlagen und erlaubt die recht- und zweckmäßige Verarbeitung persönlicher Daten. Darüber hinaus dürfen Dokumente nicht allen Mitarbeitern zugänglich sein. Über ein Berechtigungssystem lässt sich festlegen, wer auf welche Dokumente wie lange zugreifen darf – von Leserechten bis hin zu Bearbeitungs- oder Freigabebefugnissen.

Meldepflicht: Dokumente aus dem DMS heraus verbreiten

Ein wesentlicher Vorteil eines DMS besteht darin, dass Unternehmen Dokumente direkt aus dem System heraus verschicken können. Damit der integrierte E-Mail-Versand beispielsweise auch während einer Cyberattacke funktioniert, sollten KRITIS-Betreiber das DMS in einer geschützten Umgebung offline betreiben. Adressat der Meldung ist das BSI als zentrale Melde- und Aufsichtsstelle.

Das DMS sorgt für einen sicheren Workflow, indem der Verantwortliche per Mausklick alle Informationen zur Störung oder zum Angriff an das BSI übermitteln kann. Die aus der Meldung gewonnenen Erkenntnisse stellt das BSI sowohl den übrigen KRITIS-Betreibern als auch den zuständigen Behörden zur Verfügung, sodass sie ihre IT-Systeme schützen bzw. entsprechende Maßnahmen einleiten können. Auch bei der Erfüllung der Meldepflicht ist Compliance wichtig: Über das DMS können Unternehmen jederzeit nachweisen, dass sie sich korrekt verhalten und welche Maßnahmen sie eingeleitet haben, um zukünftigen Störungen oder Cyberattacken vorzubeugen.

DMS unterstützt (Re-)Zertifizierung

Mit einem Zertifikat weisen KRITIS-Betreiber die Normenkonformität ihrer IT-Systeme nach und dokumentieren, dass sie die Vorgaben des IT-Sicherheitskatalogs umgesetzt haben. Die Zertifizierung ist zwei Jahre gültig und erfordert eine Re-Zertifizierung. Ein DMS verfügt über eine zuverlässige Fristenkontrolle: Zu einem definierten Zeitpunkt erhält der zuständige Mitarbeiter eine Erinnerung per E-Mail. Lässt er die Frist verstreichen, wird sie automatisch an den Nebenverantwortlichen eskaliert. Auch bei der eigentlichen Zertifizierung hilft ein DMS: Der Verantwortliche erstellt definierte Aufgabenlisten und weist sie den Kollegen zu. Nach Erfüllung markieren sie die Tasks als erledigt und speichern sie samt abgearbeiteter Aufgabenliste in der Dokumentation. So ist sichergestellt, dass alle benötigten Dokumente rechtzeitig vorbereitet und zusammengestellt sind.

Nachweispflicht: Dokumente langzeitig archivieren

Die Nachweispflicht ist zentraler Aspekt des IT-Sicherheitsgesetzes. KRITIS-Betreiber müssen mittels Zertifizierung gegenüber dem BSI alle zwei Jahre nachweisen, dass ihre IT-Systeme dem Stand der Technik entsprechen. Ein DMS bietet umfassende Möglichkeit zur Langzeitarchivierung von Dokumenten aller Art. Da Anwender die Dokumente mit aussagekräftigen Tags und Metadaten versehen können, sind sie später unkompliziert auffindbar.

Maximale Sicherheit gewähren bedarfsgerecht wählbare Sicherheitsstufen für die Dateiablage. In einem DMS lassen sich automatisierte Workflows zur Prüfung der jeweiligen Zweckbindung anlegen. Sind die nötigen Datenschutz-Anforderungen erfüllt, dient die Langzeitarchivierung als Grundlage für die Erstellung detaillierter Analysen: Wie viele Angriffe gab es und wann? Welches Ausmaß hatte eine Störung? Etc. Daraus können KRITIS-Betreiber Schlüsse für den zukünftigen Schutz ihrer IT ziehen – und sind rechtlich auf der sicheren Seite.

Über den Autor

Der Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer der forcont business technology gmbh, ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus, und seit 1976 in der IT-Branche tätig. Matthias Kunisch ist zudem Mitglied des Vorstandes des Cloud-EcoSystem e. V. forcont bietet standardisierte Anwendungsprodukte und individuelle Projektlösungen zur Steuerung dokumentenlastiger Geschäftsprozesse – alternativ auch als Software-as-a-Service (SaaS) aus der Cloud. Zudem leistet das Unternehmen den kompletten Service im ECM-Umfeld von SAP.

Tel.: 0341 48503-0
E-Mail: infoforcontde
Linkedin: Matthias Kunisch
XING: Matthias Kunisch
Website: www.forcont.de