Sicherheitspannen in der IT: Neue Berichtsanforderungen

  • in der Kategorie Security
  • veröffentlicht.
pannen in technik

Unternehmen meldeten zwischen Juni 2018 und Mai 2019 252 Sicherheitsvorfälle in der IT. Das geht aus dem aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Ausfälle in der Hardware- und Softwaredomäne, insbesondere bei verwandten IT-Infrastrukturen nach Updates und Patches, führten zu Schäden und zum Ausfall kritischer Dienste. Die Bereiche Gesundheit, Finanzen und Versicherungen sind am stärksten betroffen.

IT-Sicherheitsvorfälle sind weit verbreitet

Laut einer vom BSI im Februar und März 2019 durchgeführten Cybersicherheitsumfrage war jedes dritte an der Umfrage beteiligte Unternehmen 2018 von Cybersicherheitsvorfällen betroffen. Darunter sind 43 Prozent große und 26 Prozent der kleinen und mittleren Unternehmen. 87 Prozent der Betroffenen haben wegen IT-Pannen mit Betriebsstörungen oder sogar Ausfällen zu kämpfen. 65 Prozent müssen zusätzliche Kosten in Kauf nehmen, um Vorfälle zu klären und IT-Systeme wiederherzustellen. 22 Prozent stellen fest, dass ihr Ruf erheblich geschädigt ist.

Aus diesen Zahlen geht hervor, dass nicht alle wichtigen IT-Sicherheitsvorfälle tatsächlich gemeldet wurden. Neue Gesetze und Vorschriften sind möglicherweise nicht bekannt. Aus diesem Grund, Führungskräfte und Mitarbeiter entsprechend zu schulen und aufzuklären.

Die neuen Berichtsanforderungen für IT-Sicherheitsvorfälle

Erst seit dem Jahr 2016 müssen Firmen, die durch IT-Sicherheitsgesetze geschützt sind, IT-Sicherheitsvorfälle dem BSI melden. BSI-KritisV stellt in den Jahren 2016 und 2017 daher spezifische Anforderungen an diese Vorgaben. Unternehmen aus den Bereichen Energie, Gesundheit, Informationstechnologie, Wasser und Ernährung, Telekommunikation, Finanzen und Versicherungen, sowie Transport und Verkehr können anhand messbarer Standards prüfen, ob ihre Anlage durch das BSI-Gesetz geschützt ist.

Wenn beispielsweise eine Fabrik 500.000 Menschen versorgt, könnte eine Störung eine nationale Versorgungskrise auslösen. In diesem Fall gilt die Meldepflicht. Seit 2018 gelten europaweit Meldepflichten aufgrund der NIS-Richtlinie (Network and Information Security).

Neue Meldepflicht: Was muss gemeldet werden?

Unternehmen müssen schwerwiegende IT-Sicherheitsvorfälle unverzüglich den zuständigen Behörden melden. Dies gilt für IT-Ausfälle, die zu erheblichen Einschränkungen oder möglicherweise sogar zu Komplettausfällen führen. Unternehmen, die nicht der gesetzlichen Meldepflicht unterliegen, können IT-Pannen auch freiwillig melden.

Was kann die neue Meldepflicht auslösen?

Zu meldende Ursachen können Fehlfunktionen sowie Softwareprobleme wie Malware und Sicherheitslücken sein. Probleme wie Konfigurationsfehler, die von Mitarbeitern verursacht wurden, können ebenfalls gemeldet werden. Es können sich jedoch auch Benachrichtigungen ergeben, wenn sich physikalische Gründe auf das IT-System auswirken. Beispielsweise kann das Kühlsystem eines Rechenzentrums ausfallen oder Stromleitungen können unterbrochen werden.

Was ist eigentlich eine IT-Störung?

Für IT-Ausfälle gelten folgende Gründe für das IT-Sicherheitsgesetz: „Wenn die verwendete Technologie ihre beabsichtigte Funktion nicht mehr oder nicht mehr ordnungsgemäß erfüllen kann oder wenn versucht wird, entsprechend auf sie einzuwirken, liegt eine Unterbrechung nach BSI-Recht vor.“ (Siehe BT-Drs 18/4096, 28.)

Beispiele für relevante IT-Ausfälle, die nicht als IT-Sicherheitsereignisse gemeldet werden, sind beispielsweise ein Bagger, der wichtige Kabel schneidet, wenn die Kühlung des Rechenzentrums ausfällt, Systemkonfigurationsfehler oder auch falsche Updates oder Probleme mit den importierten Patches.

Was versteht der Gesetzgeber unter einer „erheblichen Störung“?

Größere IT-Ausfälle gemäß der NIS-Richtlinie müssen gemeldet werden, wenn

  1. bei Nichtbeachtung weitere negative Auswirkungen auf das Unternehmen drohen.
  2. das Unternehmen zusätzliche personelle Kapazitäten, Mittel oder materielle Ressourcen wegen der Störung einsetzen oder planen muss.
  3. aus diesem Grund ein spezieller Incident-Responder oder ein Incident-Team eingesetzt werden muss.
  4. kritische IT-Systeme oder -Komponenten heruntergefahren werden müssen, um Kettenreaktionen zu vermeiden.
  5. wegen dem Störfall während der Wartungsarbeiten etwas betriebsbedingt ausgetauscht werden muss.
  6. hohe finanzielle Verluste entstehen.
  7. die Ursache ein ungewöhnlich gezielter Angriff sein könnte.

Neue IT-Meldepflicht: Was sind KRITIS-Betreiber?

Das IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland deutlich verbessern (BT-Drs. 18/4096, 1). Dies erfordert neben gut geschützten IT-Systemen einen besseren Überblick über die Situation und einen schnellen Informationsaustausch über IT-Bedrohungen und Gefahren.

Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) müssen zum Schutz von IT-Systemen und -Prozessen geeignete Nachweise gemäß § 8a Abs. 3 BSI-Gesetz erbringen. Für größere IT-Ausfälle in kritischen Infrastrukturbetrieben sieht BSIG § 8b Meldepflichten für KRITIS-Betreiber vor.

Die Meldepflicht spielt eine besondere Rolle, wenn es darum geht, IT-Störungen zwischen Organisationen zu verhindern oder zu mindern. Ein wichtiger Faktor bei der Verhinderung oder Eindämmung ähnlicher Vorfälle des gleichen Typs kann es sein, die Ereignisse der betroffenen KRITIS-Betreiber zu verfolgen.

Die rechtliche Aufgabe des BSI-Warn- und Meldesystems besteht darin, Informationen zu sammeln, zu verarbeiten und die Ergebnisse an verbundene Unternehmen (KRITIS-Betreiber) weiterzugeben. Dies geschieht beispielsweise in Form von Warnungen über bestimmte Schwachstellen oder Informationen über geeignete Maßnahmen zum Schutz von IT-Systemen. Aus diesem Grund sind diejenigen, die nach dem BSIG meldepflichtig sind, nicht nur Anbieter von Cybersicherheitsinformationen, sondern auch Empfänger.

Was sind große Schäden an der kritischen Infrastruktur?

Insbesondere wenn KRITIS nicht mehr wie geplant oder erwartet betreut werden kann, entsteht ein erheblicher Schaden. So zum Beispiel, wenn ihre Funktion nur zum Teil besteht und die daraus resultierende schlechte Leistung recht groß ist. Wenn schlechte Leistungen offensichtlich sind, muss dies mit den Anliegen der Betroffenen zusammenhängen.

Beispielsweise kann ein signifikanter Verlust angenommen werden, wenn eine große Anzahl von Benutzern involviert ist, eine Vielzahl von Geschäftsprozessen betroffen ist oder die Auswirkungen von öffentlichem Interesse ist.

6. Mai 2025Security

Fake Abmahnungen erkennen: So schützt du dich vor betrügerischen Forderungen

Immer mehr Unternehmen und Privatpersonen erhalten Abmahnungen, Rechnungen oder Zahlungsaufforderungen, die auf den ersten Blick offiziell wirken – bei genauerem

2. Mai 2025Allgemein

Die Wirtschafts-ID in Deutschland: Alles, was du wissen musst

Seit November 2024 ist sie da: die neue Wirtschafts-ID. Mit der Einführung durch das Bundeszentralamt für Steuern beginnt ein neues

Weiterlesen
29. April 2025Social Media

Facebook werbefrei: Die Funktion im Überblick

Facebook werbefrei – für viele klingt das zu schön, um wahr zu sein. Doch Meta macht es inzwischen möglich: Wer

Weiterlesen
25. April 2025SEO

Content Plan in 5 Schritten erstellen

Ein klar strukturierter Content Plan ist das Herzstück für erfolgreiches Content Marketing. Ohne ihn verlierst du schnell den Überblick, deine

Weiterlesen
Zum Inhalt springen