Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) meldeten Unternehmen 252 IT-Sicherheitsvorfälle im Zeitraum zwischen Juni 2018 und Mai 2019. Die Ausfälle im Bereich der Hard- und Software, insbesondere nach Updates und Patches von relevanter IT-Infrastruktur, verursachten Beeinträchtigungen und Ausfälle der kritischen Dienstleistungen. Am intensivsten betroffen waren das Gesundheits-, Finanz- und Versicherungswesen.

IT-Sicherheitsvorfälle sind häufig

Laut der Cyber-Sicherheits-Umfrage des BSI, die im Februar und März 2019 durchgeführt wurde, war im Jahr 2018 jeder dritte an der Umfrage teilnehmende Betrieb von Cyber-Sicherheitsvorfällen betroffen. Dazu zählten 43 Prozent der Großunternehmen und 26 Prozent der kleinen und mittelständischen Unternehmen. 87 Prozent der Betroffenen mussten Betriebsstörungen oder sogar Betriebsausfälle bewältigen. 65 Prozent mussten zusätzliche Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme hinnehmen, 22 Prozent stellten Reputationsschäden fest.

Diese Zahlen legen nah, dass in der Praxis noch nicht alle erheblichen IT-Sicherheitsvorfälle gemeldet werden. Möglicherweise sind die neuen gesetzlichen Regelungen noch nicht bekannt genug. Daher ist es wichtig, Führungskräfte und Mitarbeiter entsprechend aufzuklären und zu sensibilisieren.

Die Meldepflicht für IT-Sicherheitsvorfälle ist neu

Erst seit 2016 müssen Unternehmen, die unter das IT-Sicherheitsgesetz fallen, IT-Sicherheitsvorfälle an das BSI melden. In Folge legte das BSI 2016 und 2017 in einer Rechtsverordnung (BSI-KritisV) konkrete Vorgaben für sie fest: Unternehmen aus den Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung, Finanzen und Versicherung, Transport und Verkehr sowie Gesundheit können demnach mittels messbarer Kriterien überprüfen, ob ihre Anlagen unter das BSI-Gesetz fallen. Wenn beispielsweise 500.000 Menschen von einer Anlage versorgt werden, könnte ein Ausfall zu einer nationalen Versorgungskrise führen. In einem solchen Fall greift die Meldepflicht. Seit 2018 gilt die Meldepflicht aufgrund der NIS-Richtlinie (Netz- und Informationssicherheit) auch europaweit.

Was muss gemeldet werden?

Unternehmen müssen erhebliche IT-Sicherheitsvorfälle den zuständigen Behörden „unverzüglich“ melden. Dies gilt für IT-Störungen, die eine erhebliche Einschränkung tatsächlich verursachen oder auch nur möglicherweise verursachen können. Unternehmen, die nicht unter die gesetzliche Meldepflicht fallen, können auch freiwillig Meldung erstatten.

Was kann eine Meldung auslösen?

Die Ursache können Softwareprobleme wie Schadprogramme, Sicherheitslücken und Fehlfunktionen sein. Auch von Mitarbeitern verursachte Probleme wie Konfigurationsfehler könnten meldepflichtig sein. Doch auch physische Ursachen können zu einer Meldung führen, wenn sie ein IT-System beeinträchtigen. Beispielsweise könne das Kühlsystem in einem Rechenzentrum ausfallen oder ein Stromkabel durchtrennt werden.

Wann ist eine IT-Störung „erheblich“?

Eine nach der NIS-Richtlinie erhebliche IT-Störung muss gemeldet werden,

  • wenn eine Nicht-Behandlung weitere negative Folgen für das Unternehmen nach sich zieht,
  • wenn ein Unternehmen wegen ihr zusätzliche Personalkapazitäten, Geld- oder Sachmittel einsetzen oder einplanen muss,
  • wenn wegen ihr spezielle Incident-Responder oder Störfallteams eingesetzt werden müssen,
  • wenn wegen ihr zur Vermeidung von Kettenreaktionen wichtige IT-Systeme oder -Komponenten abgeschaltet werden müssen,
  • wenn wegen ihr Betriebsprozesse im Rahmen der Reparaturarbeiten geändert werden müssen,
  • wenn sie einen hohen finanziellen Schaden verursacht und
  • wenn sie vermutlich Ursache eines ungewöhnlichen, zielgerichteten Angriffs ist.

 

Geschrieben von Nadine Stimmer


Informationssicherheit


Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0