IT-Sicherheit

IT-Sicherheitsgesetz: Schutz vor Cyberattacken

Kritische Infrastrukturen wie die Strom- und Wasserversorgung oder das Gesundheitswesen werden zunehmend digitalisiert. Das hat viele Vorteile. Doch gerade diese für die Gesellschaft so elementaren Infrastrukturen sind auch ein Angriffsziel von kriminellen Hackern. Mit dem IT-Sicherheitsgesetz hat die Bundesregierung reagiert und die Betreiber verpflichtet, sich besser vor Cyber-Attacken zu schützen. Was genau Unternehmen nun beachten müssen, erklärt Sicherheitsexperte Wilhelm Dolle von KPMG im Video.

Teilen auf

 

Umsetzungsfristen laufen zum Teil bis Mitte 2019

Hunderttausende Cyber-Angriffe gibt es weltweit jeden Tag. Sind sie erfolgreich, können kriminelle Hacker ganze Produktionsabläufe von Unternehmen stilllegen oder geheime Daten abzapfen. Besonders verhängnisvoll sind Cyberangriffe auf sensible Infrastrukturen, beispielsweise die Strom- und Wasserversorgung, den Verkehr oder das Gesundheitswesen. Sie können dramatische Folgen für Wirtschaft, Staat und Gesellschaft haben und sogar Menschenleben gefährden. Damit die Betreiber kritischer Infrastruktur besser gegen Cyber-Attacken gewappnet sind, hat der Bundestag bereits im Jahr 2015 das IT-Sicherheitsgesetz verabschiedet. Die Umsetzungsfristen für einzelne Sektoren laufen allerdings noch bis zum 30. Juni 2019.

Unternehmen müssen erhebliche Sicherheitsvorfälle melden

Das Gesetz reguliert sieben von neun Sektoren im Bereich der kritischen Infrastrukturen: Energie, Transport und Verkehr, Informations- und Telekommunikationstechnik, Gesundheit, Finanz- und Versicherungswesen, Wasserversorgung und Ernährung. Relevant ist das Gesetz allerdings nur für Unternehmen und Organisationen, die ein so genanntes sektorspezifisches Quantitätskriterium erfüllen. Dazu wird das Unternehmen in Anlagen eingeteilt. Bei einer großen Krankenhauskette wäre ein einzelnes Krankenhaus eine kritische Anlage, wenn es die Zahl von 30.000 zu versorgenden „vollstationären Fällen“ pro Jahr erreicht.

Unternehmen mit kritischen Anlagen müssen laut IT-Sicherheitsgesetz verschiedene Vorgaben erfüllen. Zum einen müssen sie erhebliche IT-Sicherheitsvorfälle zeitnah an den Regulator melden, in der Regel an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zudem müssen sie branchenspezifische Sicherheitsstandards umsetzen. Die Organisationen müssen alle zwei Jahre nachweisen, dass sie die geforderten Sicherheitsstandards einhalten.

Prüfung alle zwei Jahre

Dazu holt das Unternehmen speziell ausgebildete Prüfer ins Haus. Die Prüfer untersuchen, ob alle Sicherheitsmaßnahmen umgesetzt sind und diese dem aktuellen Stand der Technik entsprechen. Außerdem kontrollieren sie, ob das Unternehmen seine Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle erfüllt hat.

Das notwendige Zertifikat, um diese Prüfungen durchführen zu dürfen, können Interessenten durch ein zweitägiges Präsenzseminar bei der Bitkom Akademie erwerben. Allgemeine Informationen zum IT-Sicherheitsgesetz und dem Prüfverfahren bietet die Bitkom Akademie mit zwei 45-minütigen Onlinekursen.

Ansprechpartner

 

Vincent Bergner

Customer Relationship Manager

v.bergner@bitkom-service.de

T: 030.27576-539

55 Mrd. Euro pro Jahr

Schäden in deutschen Unternehmen als Folge von Wirtschaftsspionage, Sabotage und Datendiebstahl