Die Auswirkungen des neuen IT Sicherheitsgesetzes und andere rechtlicher Grundlagen auf BC/DR

Autor/Redakteur: Andreas Mayer, Zerto/gg

Neben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die die Verfügbarkeit und die Wiederherstellung von Daten regeln. Das Nichteinhalten dieser Gesetze kann zum Teil empfindliche Strafen nach sich ziehen, die nicht nur das IT-Personal, sondern auch das Unternehmensmanagement betreffen können. Die IT-Sicherheit vieler Unternehmen und Organisationen benötigt vielerorts noch dringende Anpassungen der IT hinsichtlich Datenverfügbarkeit und Datensicherheit, um geltendem Recht zu entsprechen. Welche Gesetze gibt es, welche Strafen drohen und welche technischen Lösungen sind notwendig, um auf der sicheren Seite zu sein und volle Sicherheit in einer virtualisierten Welt zu garantieren? Ein detaillierter Überblick.

Das neue IT Sicherheitsgesetz – Was steckt dahinter?

Das IT SiG ist seit dem Sommer 2015 in Kraft und soll dazu dienen, die allgemeine Sicherheit von IT-Systemen zu erhöhen. Es ist für bestimmte Branchen gültig und enthält vielfältige Verpflichtungen hinsichtlich der Sicherheit von Systemen und Daten. So sind beispielsweise Anbieter von Telemediendiensten jetzt zur Umsetzung von Sicherheitsmaßnahmen nach dem jeweils aktuellen Stand der Technik verpflichtet. Zu dieser Gruppe gehören fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote, wie Webshops, Online-Auktionshäuser, Suchmaschinen, E-Mail-Dienste, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. Die wichtigsten Regelungen umfassen die „technischen Sicherungspflichten für Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorfällen für die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz /BSIG).“ Es ist also zuerst einmal wichtig zu wissen, wer denn eigentlich ein Betreiber einer kritischen Infrastruktur, kurz KRITIS, ist.

Betreibern kritischer Infrastrukturen drohen bei Verschulden hohe Strafen

Betreiber kritischer Infrastrukturen sind generell Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Es geht also um Infrastrukturen, die von großer Bedeutung für das Gemeinwesen sind, weil Störungen oder deren Ausfall zu gravierenden Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würden. KRITIS-Betreiber sind verpflichtet, entsprechende Maßnahmen zu ergreifen, die ihre IT inklusive der zugehörigen Prozesse vor Störungen schützt oder die Störung mit Mitteln zu beseitigen, die dem „Stand der Technik“ gerecht werden. Dazu kommen bei Sicherheitsvorfällen noch gewisse Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei Verstößen gegen die Vorschriften können Bußgelder bis zu 100.000 Euro verhängt werden.

Um nicht mit einem Schlag die meisten Betreiber kritischer Systeme in eine legale Grauzone zu bringen, bekommen diese vom Tag des Inkrafttretens der neuen Gesetzgebung zwei Jahre Zeit, passende Lösungen einzuführen, um den Verpflichtungen des Gesetzes nachzukommen. Anschließend müssen alle betroffenen Organisationen gegenüber dem BSI mindestens alle zwei Jahre nachweisen, dass Ihre IT den Bestimmungen gerecht wird. Da die Maßnahmen kein eigenständiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung für Telekommunikations- und Telemedienanbieter bereits heute.