HERAUSFORDERUNGEN FÜR UNTERNEHMEN DURCH DAS NEUE
IT-SICHERHEITSGESETZ
ANFORDERUNGEN UND PRAXISHINWEISE AUS RECHTLICHER SIC...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
2
3. HANDLUNGSEMPFEHLUNGEN
AGENDA
1. WARUM EIN IT-SICHERHEITSGESETZ?...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
3
ANSTIEG DER ANGRIFFE AUF
DIE IT-SICHERHEIT VON
UNTERNEHMEN 2013 UM...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
4
Cyberattacke auf Stahlwerk
 ZUGANG ZUM BÜRONETZ ÜBER SPEAR-PHISHI...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
5
Ziel des IT-Sicherheitsgesetzes
ZIEL: ERHÖHUNG DER SICHERHEIT VON ...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
6
3. HANDLUNGSEMPFEHLUNGEN
1. WARUM EIN IT-SICHERHEITSGESETZ?
2. AUS...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
7
TKG
TMG
BKA-Gesetz
EnWG
BSI-Gesetz
AtomG
IT-SICHERHEITSGESETZ
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
8
§ 2 ABS. 10 BSIG
 ENERGIE
 IKT
 TRANSPORT UND VERKEHR
 GESUNDH...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
9
HOHE BEDEUTUNG FÜR DAS FUNKTIONIEREN DES GEMEINWESENS, WEIL BEI AU...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
10
1. AKTUELLER „STAND DER TECHNIK“, § 8a ABS. 1 S. 2 BSI-G
 UNBEST...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
11
UNVERZÜGLICHE MELDUNG AN KONTAKTSTELLE DES BSI
FALL 1: ERHEBLICHE...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
12
 INHALTLICHE ANFORDERUNGEN AN MELDUNG NICHT KONKRETISIERT
 UNTE...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
13
NACHWEISPFLICHT DER IMPLEMENTIERUNG DER TECHNISCHEN UND ORGANISAT...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
14
BUßGELDKATALOG
 SANKTIONSMÖGLICHKEITEN BEI
VERSTÖßEN GEGEN MELDE...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
15
1. UNBESTIMMTE RECHTSBEGRIFFE
2. SICHERHEITSFÖRDERUNG DURCH GESET...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
16
3. HANDLUNGSEMPFEHLUNGEN
1. WARUM EIN IT-SICHERHEITSGESETZ?
2. AU...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
17
1. PRÜFUNG, OB TEIL DES ADRESSATENKREISES (RVO
ABWARTEN)
 ZUGEHÖ...
SCHÜRMANN • WOLSCHENDORF • DREYER
ALL RIGHTS RESERVED
18
Fazit
1. VERPFLICHTUNG ZU SCHUTZVORKEHRUNGEN, NACHWEISPFLICHTEN, ...
DR. JOHANNES FRANCK
RECHTSANWALT
BÜRO BERLIN
KONTORHAUS AM SPITTELMARKT
NEUE GRÜNSTRAßE 17/18
10179 BERLIN-MITTE
TEL +49 3...
Nächste SlideShare
Wird geladen in …5
×

Herausforderungen für Unternehmen durch das neue IT-Sicherheitsgesetz

293 Aufrufe

Veröffentlicht am

Herausforderungen für Unternehmen durch das neue
IT-Sicherheitsgesetz – Anforderungen und Praxishinweise aus rechtlicher Sicht
Dr. Johannes Franck, Schürmann, Wolschendorf, Dreyer – Rechtsanwälte
IT2Industry 2015 Open Conference #IT2I15 | München, 11.11.2015 (Vortrag Tag 2)

Veröffentlicht in: Recht
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
293
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • IT-Strukturen sind grundsätzlich als unsicher einzustufen

    Nach einer Erhebung des statistischen Bundesamts verfügen 85 % der Unternehmen über einen Internetzugang.
    (Destatis 2012); frage mich, was der Rest macht

    Eine starke Zunahme der Fälle der Computersabotage ist zu beobachten: gemeldet wurden fast 12.800 Fälle – ein Plus von ungefähr 18 % gegenüber dem Vorjahr.
    (Cybercrime-Bericht des BKA, 2013)

    Jedes zweite Unternehmen ist in den vergangenen 2 Jahren Opfer von Datendiebstahl, Sabotage oder digitaler Wirtschaftsspionage geworden.
    (IT-Branchenverband BITKOM-Studie 2015, Befragung von 1.074 Unternehmen)
  • BSI-Bericht Dezember 2014: Hackerangriff auf deutsches Stahlwerk

    Über Spear-Phishing konnten Hacker zunächst gezielt in das Büronetz eindringen
    Ziel der Attacke waren die Steueranlagen des Systems
    Mit dem Zugriff auf das Produktionsnetz, konnten die Hacker die Steuerkomponente des Stahlwerks manipulieren
    Die Ausfälle verursachten dann massive Schäden an der Anlage, da das geregelte Herunterfahren des Hochofens nicht mehr möglich war.
    BSI bewertet die Kenntnisse der Angreifer als „sehr fortgeschritten“, neben IT-Kenntnissen verfügten sie auch über Informationen bzgl. der Industriesteuerung und den Produktionsprozessen
  • Sicherheitslage ist angespannt (berühmtestes Beispiel der letzten Monate ist der im Mai 2015 entdeckte Angriff auf Computer des Bundestages)

    Cybersicherheitsstrategie für Deutschland, Beschluss der BReg 2011, sowie Umsetzung der Digitalen Agenda 2014-2017 als Bestandteil des Koalitionsvertrags

    Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

  • IT-Sicherheitsgesetz ist kein Gesetz an sich, sondern ein Gesetzespaket mit Auswirkung auf viele Einzelgesetze
  • KRITIS ist wohl DER zentrale Schlüsselbegriff im Gesetz

    Betreiber von Einrichtungen, Anlagen oder Teilen davon, die folgenden Sektoren angehören

    Nachsatz: Die Kritischen Infrastrukturen i.S.d. Gesetzes werden durch die RVO nach § 10 Abs. 1 näher bestimmt
  • 1. Nur Prognose für Zugehörigkeit KRITIS möglich
    Eigentliche Definition wird erst in nachfolgender RVO vorgenommen
    gilt ab sofort nur für Betreiber von Kernkraftwerken und für TK-Unternehmen sowie bestimmte Pflichten für die Betreiber von Webangeboten

    2. Ausschluss von Kleinstunternehmen durch neuen § 8c BSI-G
    weniger als 10 Beschäftigte sowie Jahresumsätze unter 2 Mio. EUR
  • Es besteht eine Verpflichtung zur Einrichtung von angemessenen T.O.M. Vorkehrungen nach aktuellem Stand der Technik

    Die Verpflichtung zur Vorhaltung von IT-Systemen, die dem aktuellen „Stand der Technik“ entsprechen, würde nach der Begründung des Änderungsantrags bewusst als „Soll“-Vorschrift ausgestaltet. So soll dem Umstand Rechnung getragen werden, dass Betreiber Kritischer Infrastrukturen teilweise Maßnahmen nicht ergreifen können, die aus reiner IT-Sicherheitssicht als Stand der Technik anzusehen wären. Als Beispiel werden zeitnahe Sicherheits-Updates von Betriebssystemen genannt, deren Auswirkungen auf die notwendigen Betriebsprozesse bei komplexen Systemen nicht von vornherein absehbar seien. Das Einspielen solcher Updates könne zu einem Ausfall der Kritischen Dienstleistungen führen, deren Schutz die gesetzliche Verpflichtung auf den Stand der Technik eigentlich bezweckt.

    Der dafür erforderliche Aufwand darf nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur stehen
    Branchenspezifische Standards können von Unternehmen und Branchenverbänden vorgeschlagen und vom BSI anerkannt werden

    Kann nicht durch Einschaltung von Dienstleistern umgangen werden

    Umsetzungsfrist für Etablierung von Mindeststandards: 2 Jahre nach Inkrafttreten
  • Meldepflichten für KRITIS-Betreiber gegenüber dem BSI (8b Abs. 4 BSI-G)

    Meldung muss Angaben zur Störung sowie zu den technischen und organisatorischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten (§ 8b Abs. 4 S. 1, 2 BSI-G)

    Erhebliche Störung liegt laut Gesetzesbegründung vor, wenn sie nicht automatisiert oder mit wenig Aufwand abgewehrt werden kann
  • Kontrollstelle muss binnen 6 Monaten nach Inkrafttreten der VO benannt werden
  • Die Implementierung technischer und organisatorischer Maßnahmen muss nachgewiesen werden

    Audits, Prüfungen, Zertifizierungen; nicht genauer definiert
  • Wegen Kritik wurden Bußgelder kurz vor Abschluss des Gesetzgebungsverfahrens eingefügt

    Verstoß gegen die Meldepflicht bei erheblichen Störungen i.S.d. § 8a Abs. 4 BSI-G ist nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt hat
  • Zu 2.: Fraglich, ob das Gesetz überhaupt Sicherheit fördern kann, denn Zusammengenommen machen Kleinstunternehmen eigentlich Teil der KRITIS aus; rund 3/4 der Cyber-Attacken gelten kleinen und mittelständischen Unternehmen

    Zu 4.: Sicherheitsstrukturen bei Behörden fraglich; Abhängigkeit vom BSI

    Zu 5.: BSI kann sich gem. §§ 7, 7a BSI-G der Unterstützung Dritter bedienen (wenn eigene Kompetenzen überschritten sind)

    Zu 7.: Richtlinie zur Netz- und Informationssicherheit 2016

    Zu 8.: Wie sollen Unternehmen und Behörden ausreichend qualifiziertes Fachpersonal für die Besetzung der neu geschaffenen Stellen finden (Information Security Officer)
  • Meldepflicht bei IT-Sicherheitsvorfällen an das BSI
    Verpflichtung für Betreiber Kritischer Infrastrukturen
    Verpflichtung zur Einrichtung von angemessenen technischen und organisatorischen Vorkehrungen zur IT-Sicherheit nach aktuellem Stand der Technik
  • Herausforderungen für Unternehmen durch das neue IT-Sicherheitsgesetz

    1. 1. HERAUSFORDERUNGEN FÜR UNTERNEHMEN DURCH DAS NEUE IT-SICHERHEITSGESETZ ANFORDERUNGEN UND PRAXISHINWEISE AUS RECHTLICHER SICHT DR. JOHANNES FRANCK, RECHTSANWALT
    2. 2. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 2 3. HANDLUNGSEMPFEHLUNGEN AGENDA 1. WARUM EIN IT-SICHERHEITSGESETZ? 2. AUSWIRKUNGEN DES GESETZES
    3. 3. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 3 ANSTIEG DER ANGRIFFE AUF DIE IT-SICHERHEIT VON UNTERNEHMEN 2013 UM 48 % AUF 42,8 MIO.  CA. 117.000 ANGRIFFE PRO TAG! (PWC, GLOBAL STATE OF INFORMATION SECURITY SURVEY 2015) IT-Strukturen sind wegen Vernetzung grundsätzlich unsicher
    4. 4. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 4 Cyberattacke auf Stahlwerk  ZUGANG ZUM BÜRONETZ ÜBER SPEAR-PHISHING  ZIEL: ZUGANG ZU DEN STEUERANLAGEN IN DER PRODUKTION  ERGEBNIS: MANIPULATION DER PROZESSSTEUERUNGSSOFTWARE  SIGNIFIKANTE SCHÄDEN AN DER ANLAGE  CYBERANGRIFFE KÖNNEN GANZE PROZESSSTEUERUNGSSYSTEME LAHMLEGEN!
    5. 5. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 5 Ziel des IT-Sicherheitsgesetzes ZIEL: ERHÖHUNG DER SICHERHEIT VON IT-SYSTEMEN  ANGESPANNTE IT-SICHERHEITSLAGE (CYBERANGRIFFE)  ZUNEHMENDE ABHÄNGIGKEIT VON IT-SYSTEMEN UND INTERNET  SICHERHEITSNIVEAU SEHR UNTERSCHIEDLICH  ANGRIFFE WERDEN KOMPLEXER, ZIELGERICHTETER UND FOLGENSCHWERER  GESETZ ZUR SCHAFFUNG VON „STANDARDS“
    6. 6. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 6 3. HANDLUNGSEMPFEHLUNGEN 1. WARUM EIN IT-SICHERHEITSGESETZ? 2. AUSWIRKUNGEN DES GESETZES
    7. 7. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 7 TKG TMG BKA-Gesetz EnWG BSI-Gesetz AtomG IT-SICHERHEITSGESETZ
    8. 8. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 8 § 2 ABS. 10 BSIG  ENERGIE  IKT  TRANSPORT UND VERKEHR  GESUNDHEIT  WASSER  ERNÄHRUNG  FINANZ- UND VERSICHERUNGSWESEN  (MEDIEN UND KULTUR)  (STAAT UND VERWALTUNG) Kritische Infrastrukturen (KRITIS)
    9. 9. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 9 HOHE BEDEUTUNG FÜR DAS FUNKTIONIEREN DES GEMEINWESENS, WEIL BEI AUSFALL /BEEINTRÄCHTIGUNG ERHEBLICHE VERSORGUNGSENGPÄSSE ODER GEFÄHRDUNGEN FÜR DIE ÖFFENTLICHE SICHERHEIT DROHEN  NUR PROGNOSE FÜR ZUGEHÖRIGKEIT KRITIS MÖGLICH  RECHTSVERORDNUNG FOLGT (Q1 2016)  KLEINSTUNTERNEHMEN (-)  KRITIS VON BUNDESREGIERUNG, BUNDESVERWALTUNG UND PARLAMENT (-) Kritische Infrastrukturen (KRITIS)
    10. 10. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 10 1. AKTUELLER „STAND DER TECHNIK“, § 8a ABS. 1 S. 2 BSI-G  UNBESTIMMTER RECHTSBEGRIFF  NUR IN DER GESETZESBEGRÜNDUNG ANHALTSPUNKTE ZUR BESTIMMUNG  „SOLL“-VORSCHRIFT 2. ANGEMESSENHEIT DER MAßNAHMEN, § 8a ABS. 1 S. 3 BSI-G  KEIN UNVERHÄLTNISMÄßIGER AUFWAND  BETRIEBLICHER AUFWAND ZU BERÜCKSICHTIGEN  BRANCHENSPEZIFISCHE MINDESTSTANDARDS  ACHTUNG: VERPFLICHTUNG TRIFFT AUCH EINGESCHALTETE DIENSTLEISTER DER UNTERNEHMEN Angemessene T.O.M. (§§ 8a-8d)
    11. 11. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 11 UNVERZÜGLICHE MELDUNG AN KONTAKTSTELLE DES BSI FALL 1: ERHEBLICHE STÖRUNGEN VON IT-SYSTEMEN, KOMPONENTEN ODER PROZESSEN, DIE ZU AUSFALL/BEEINTRÄCHTIGUNG DER FUNKTIONSFÄHIGKEIT DER KRITIS FÜHREN KÖNNEN  ANONYMISIERTE MELDUNG MÖGLICH FALL 2: TATSÄCHLICHE BEEINTRÄCHTIGUNG ODER AUSFALL DER FUNKTIONSFÄHIGKEIT DER KRITIS  NAME DES UNTERNEHMENS MUSS ANGEGEBEN WERDEN Meldepflicht
    12. 12. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 12  INHALTLICHE ANFORDERUNGEN AN MELDUNG NICHT KONKRETISIERT  UNTERNEHMEN MÜSSEN KONTAKTSTELLE VORHALTEN, DIE JEDERZEIT ERREICHBAR IST  ERGÄNZUNG ZU § 42a BDSG  KEINE AUSKUNFT AN DIE ÖFFENTLICHKEIT, WENN SCHUTZWÜRDIGE INTERESSEN DES BETROFFENEN BETREIBERS DER KRITIS DEM ENTGEGENSTEHEN  BSI KANN VOM HERSTELLER DER BETROFFENEN IT-PRODUKTE UND SYSTEME MITWIRKUNG AN BESEITIGUNG ODER VERMEIDUNG EINER STÖRUNG VERLANGEN Meldepflicht
    13. 13. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 13 NACHWEISPFLICHT DER IMPLEMENTIERUNG DER TECHNISCHEN UND ORGANISATORISCHEN SICHERHEITSVORKEHRUNGEN MIND. IM 2-JAHRESTURNUS (§ 8a ABS. 3 BSI-G)  DURCH SICHERHEITSAUDITS, PRÜFUNGEN ODER ZERTIFIZIERUNGEN  KOSTENRISIKO FÜR UNTERNEHMEN Nachweispflicht
    14. 14. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 14 BUßGELDKATALOG  SANKTIONSMÖGLICHKEITEN BEI VERSTÖßEN GEGEN MELDE- UND NACHWEISPFLICHTEN (BIS ZU 100.000 EUR)  VERSTOß GEGEN MELDEPFLICHT NUR DANN BUßGELDBEWEHRT, WENN STÖRUNG ZU AUSFALL ODER BEEINTRÄCHTIGUNG DER FUNKTIONSFÄHIGKEIT DER KRITIS GEFÜHRT HAT Sanktionen bei Verstoß gegen Meldepflicht
    15. 15. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 15 1. UNBESTIMMTE RECHTSBEGRIFFE 2. SICHERHEITSFÖRDERUNG DURCH GESETZ ? 3. EINGRIFF IN INTERNE HANDLUNGSABLÄUFE UND PROBLEMLÖSUNGSSTRUKTUREN 4. SCHUTZ DER SENSIBLEN DATEN BEIM BSI GEWÄHRLEISTET? 5. ÜBERMITTLUNG PERSONENBEZOGENER DATEN AN UNBEFUGTE 6. BEGRENZUNG AUF KRITIS 7. SINNVOLL IM HINBLICK AUF NIS-RICHTLINIE? 8. MANGEL AN QUALIFIZIERTEM FACHPERSONAL Kritikpunkte
    16. 16. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 16 3. HANDLUNGSEMPFEHLUNGEN 1. WARUM EIN IT-SICHERHEITSGESETZ? 2. AUSWIRKUNGEN DES GESETZES
    17. 17. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 17 1. PRÜFUNG, OB TEIL DES ADRESSATENKREISES (RVO ABWARTEN)  ZUGEHÖRIGKEIT ZUR KRITIS? 2. PRÜFUNG, OB BISHERIGE SICHERHEITSMAßNAHMEN DIE MINDESTSTANDARDS DER BRANCHE ERFÜLLEN 3. SCHAFFUNG VON ORGANISATIONSSTRUKTUREN UM MELDEPFLICHTEN ZU ERFÜLLEN 4. PRÜFUNG OB INFORMATIONSTECHNIK EINGESETZT WIRD, DIE NICHT DEM STAND DER TECHNIK ENTSPRICHT Handlungsempfehlungen
    18. 18. SCHÜRMANN • WOLSCHENDORF • DREYER ALL RIGHTS RESERVED 18 Fazit 1. VERPFLICHTUNG ZU SCHUTZVORKEHRUNGEN, NACHWEISPFLICHTEN, MELDEPFLICHTEN 2. BEGRENZUNG AUF KRITIS 3. PERSONAL- UND KOSTENAUFWAND BEI UNTERNEHMEN 4. ZAHLREICHE OFFENE FRAGEN 5. EVALUIERUNG DES GESETZES IM JAHR 2019
    19. 19. DR. JOHANNES FRANCK RECHTSANWALT BÜRO BERLIN KONTORHAUS AM SPITTELMARKT NEUE GRÜNSTRAßE 17/18 10179 BERLIN-MITTE TEL +49 30 50 17 76 36 FAX +49 30 50 17 76 37 INTERNET franck@swd-rechtsanwaelte.de www.swd-rechtsanwaelte.de Kontakt

    ×