Sicherheit + Datenschutz 30. Januar 2020 3 Min Lesezeit

Sicherheitspannen in der IT: Neue Berichtsanforderungen

Geschrieben von
Roger Klein
pannen in technik

Unternehmen meldeten zwischen Juni 2018 und Mai 2019 252 Sicherheitsvorfälle in der IT. Das geht aus dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Ausfälle in der Hardware- und Softwaredomäne – vor allem bei IT-Infrastrukturen nach Updates und Patches – führten zu Schäden und zum Ausfall kritischer Dienste. Am stärksten betroffen: Gesundheit, Finanzen und Versicherungen.

IT-Sicherheitsvorfälle sind weit verbreitet

Laut einer BSI-Cybersicherheitsumfrage von Februar/März 2019 war jedes dritte beteiligte Unternehmen 2018 von Cybersicherheitsvorfällen betroffen – 43 Prozent davon grosse, 26 Prozent kleine und mittlere Unternehmen. 87 Prozent der Betroffenen kämpften mit Betriebsstörungen oder Komplettausfällen. 65 Prozent mussten zusätzliche Kosten tragen, um Vorfälle zu klären und Systeme wiederherzustellen. 22 Prozent stellten einen erheblichen Reputationsschaden fest.

Aus diesen Zahlen geht hervor, dass nicht alle relevanten Sicherheitsvorfälle tatsächlich gemeldet werden. Ein Grund: Neue Gesetze und Vorschriften sind oft weder Führungskräften noch Mitarbeitenden bekannt. Gezielte Schulungen sind daher kein Nice-to-have, sondern Pflicht.

Die neuen Berichtsanforderungen für IT-Sicherheitsvorfälle

Seit 2016 müssen Unternehmen, die unter das IT-Sicherheitsgesetz fallen, Sicherheitsvorfälle dem BSI melden. Die BSI-KritisV legt dafür konkrete Anforderungen fest. Betroffen sind Unternehmen aus den Bereichen Energie, Gesundheit, Informationstechnologie, Wasser und Ernährung, Telekommunikation, Finanzen und Versicherungen sowie Transport und Verkehr – sie können anhand messbarer Schwellenwerte prüfen, ob das Gesetz für sie gilt.

Versorgt eine Anlage beispielsweise 500’000 Menschen, könnte eine Störung eine nationale Versorgungskrise auslösen – die Meldepflicht greift. Seit 2018 gilt europaweit die NIS-Richtlinie (Network and Information Security) mit vergleichbaren Anforderungen.

Neue Meldepflicht: Was muss gemeldet werden?

Unternehmen müssen schwerwiegende IT-Sicherheitsvorfälle unverzüglich den zuständigen Behörden melden. Das betrifft Ausfälle, die zu erheblichen Einschränkungen oder Komplettausfällen führen. Wer nicht gesetzlich meldepflichtig ist, kann Vorfälle freiwillig melden.

Was kann die neue Meldepflicht auslösen?

Meldepflichtige Ursachen sind Fehlfunktionen, Malware und Sicherheitslücken – aber auch Konfigurationsfehler durch Mitarbeitende. Dazu kommen physikalische Ursachen, die auf IT-Systeme durchschlagen: ein ausgefallenes Kühlsystem im Rechenzentrum oder unterbrochene Stromleitungen.

Was ist eigentlich eine IT-Störung?

Das IT-Sicherheitsgesetz definiert eine Störung so: „Wenn die verwendete Technologie ihre beabsichtigte Funktion nicht mehr oder nicht mehr ordnungsgemäss erfüllen kann oder wenn versucht wird, entsprechend auf sie einzuwirken, liegt eine Unterbrechung nach BSI-Recht vor.“ (BT-Drs 18/4096, 28.)

Konkrete Beispiele: ein Bagger, der wichtige Kabel durchtrennt; ein ausgefallenes Kühlsystem; Konfigurationsfehler; fehlerhafte Updates oder Patches. Diese Vorfälle müssen nicht als IT-Sicherheitsereignisse gemeldet werden – aber sie können es auslösen.

Was versteht der Gesetzgeber unter einer „erheblichen Störung“?

Gemäss NIS-Richtlinie besteht eine erhebliche Störung, wenn mindestens einer dieser Punkte zutrifft:

  1. Bei Nichtbeachtung drohen weitere negative Auswirkungen auf das Unternehmen.
  2. Das Unternehmen muss zusätzliche personelle Kapazitäten, Mittel oder materielle Ressourcen einsetzen oder planen.
  3. Ein spezieller Incident-Responder oder ein Incident-Team muss eingesetzt werden.
  4. Kritische IT-Systeme oder -Komponenten müssen heruntergefahren werden, um Kettenreaktionen zu vermeiden.
  5. Wegen des Störfalls muss während Wartungsarbeiten etwas betriebsbedingt ausgetauscht werden.
  6. Es entstehen hohe finanzielle Verluste.
  7. Die Ursache könnte ein ungewöhnlich gezielter Angriff sein.

Neue IT-Meldepflicht: Was sind KRITIS-Betreiber?

Das IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme in Deutschland deutlich verbessern (BT-Drs. 18/4096, 1). Dafür braucht es gut geschützte IT-Systeme, einen besseren Überblick über die Bedrohungslage und schnellen Informationsaustausch.

Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) müssen gemäss § 8a Abs. 3 BSI-Gesetz geeignete Nachweise zum Schutz ihrer IT-Systeme erbringen. Bei grösseren Ausfällen greift BSIG § 8b mit konkreten Meldepflichten.

Die Meldepflicht hat eine Schutzfunktion: Wer Ereignisse aus betroffenen KRITIS-Betrieben systematisch erfasst, kann ähnliche Vorfälle früher erkennen und eindämmen.

Das BSI-Warn- und Meldesystem sammelt diese Informationen, wertet sie aus und gibt die Ergebnisse an verbundene Unternehmen weiter – als Warnungen zu Schwachstellen oder als konkrete Schutzmassnahmen. Meldepflichtige nach dem BSIG sind damit nicht nur Lieferanten von Informationen, sondern auch Empfänger.

Was sind große Schäden an der kritischen Infrastruktur?

Ein erheblicher Schaden entsteht vor allem dann, wenn KRITIS-Infrastrukturen nicht mehr planmässig betrieben werden können – etwa wenn ihre Funktion nur noch eingeschränkt besteht und die daraus resultierende Leistungseinbusse spürbar ist.

Als signifikanter Verlust gilt es, wenn eine grosse Anzahl Nutzender betroffen ist, viele Geschäftsprozesse ausfallen oder die Auswirkungen von öffentlichem Interesse sind.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-04-14 Über eine halbe Million Zoom Kontodaten im Darknet 2020-06-17 Die Wahrheit hinter Cybercrime: Langweiliges Geschäft, miese Bezahlung 2020-02-06 Experten weisen am Polizeikongress auf Gefahren der IT-Sicherheitslage hin

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG