Das Portal der wichtigsten Rechtsinformationen zum IT-Recht, Internet-Recht und Medienrecht

Rechtsanwalt Dr. Frank A. Koch

Maximilianstr. 54    D-80538 München

Tel: 089/ 221 330    089/221 339    Fax: 089/ 227 673

E-Mail: koch@anwaltskanzlei-koch.de

Blog: http://itrecht.blogg.de

Spezialisierung auf IT- , Internet-Recht, IT-Projektverträge, IT-Vergaberecht

KRITIS

AKTUELL:

Die Bundesregierung hat am 23.2.2011 eine Cyber-Sicherheitsstrategie [1] beschlossen. Es wird beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein “Cyber-Abwehrzentrum” gegründet. Vom BSI wurde betont, dass laufend Angriffe auf das Regierungsnetz registriert werden, allein vier bis fünf Angriffe mit Trojaner-E-Mails täglich. Hartmut Isselhorst vom BSI meint dazu: “Das wird in der Wirtschaft nicht anders sein.” Das belegt, dass die Gefährdungen der IT-Sicherheit wachsen und Sicherheitsvorkehrungen auch für Unternehmen immer wichtiger werden.

[1]www.bmi.bund.de/cln_174/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/ Informationsgesellschaft/cyber.html?

Kritische Infrastrukturen - Rechtsrisiken und vertragliche Absicherung

Begriff [1]: Unter “Kritischen Infrastrukturen” versteht man Einrichtungen mit besonderer Bedeutung für Staat und Gesellschaft, deren Ausfall oder Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der IT-Sicherheit oder anderen dramatischen Folgen führen können.

Beispiele [2]:

• Transport und Verkehr (Luftfahrt, Bahn, Straße, Wasserwege)
• Energie (Elektrizität, Atomkraftwerke, Mineralöl, Gas)
• Gefahrenstoffe (Chemie- und Biostoffe, Rüstungsgüter)
• IT und Telekommunikation
• Finanz-, Geld- und Versicherungswesen
• Versorgung (Notfall- und Rettungswesen, Wasserversorgung, Entsorgung)
• Behörden, Verwaltung und Justiz (einschließlich Polizei, Zoll und Bundeswehr)
• Sonstiges (Medien, Großforschungseinrichtungen, Kulturgut)

Besonders gefährdete Infrastrukturen:

• Leitstellen,
• Prozessleittechnik,
• Management- und
• Kommunikationssysteme

Wie das Sabotageprogramm Stuxnet gezeigt hat, sind auch bisher im Zusammenhang mit der IT-Sicherheit weniger beachtete Bereiche unversehens zu Angriffszielen geworden, so etwa die Prozessüberwachung und -steuerung. Man spricht hier von “Supervisory Control And Data Acquisition” (SCADA) [4]. Die Automatisierungs-, Prozesssteuerungs- und -leitsysteme müssen bereits in der Planungsphase derart ausgelegt werden, dass solche Angriffe so weit wie möglich abgewehrt werden können; die wichtigsten Leistungsmerkmale sind in [4], S. 4 aufgelistet und umfassen die Absicherung gegen externe Zu- und Angriffe und (auch langfristige) Verfügbarkeit. Auch bestehende oder geplante Vernetzungen mit Tochterunternehmen und Partnerfirmen sind in die Analyse und Evluation einzubeziehen.

Dies gehört zu den Compliance-Pflichten der Geschäftsleitung. Im Vertrag mit einem zu beauftragenden Dienstleister sind die benötigten sicherheitsbezogenen Leistungsmerkmale ebenso zu spezifizieren wie die laufende Unterstützung der Sicherheit und das Monitoring. Die Service Levels müssen so konkret beschrieben sein, dass ihre Erfüllung bzw. Einhaltung jederzeit überprüfbar ist. Außerdem muss die Geschäftsleitung die Implementierung und laufenden Kontrollen des Dienstleisters dokumentieren.

Für den Schutz wurde eine EU-weit einheitliche Rechtsgrundlage geschaffen: Richtlinie 2008/114/EG v. 8.12.2008 über die Ermittlung und Ausweitung europäischer kritischer Infrastrukturen (EKI) und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern ABl. L 345 v. 23.12.2008, S. 75

Schutz der kritischen Infrastruktur geeignet vertraglich absichern

Die Erstellung und laufende Unterstützung bzw. Verwaltung kritischer Infrastrukturen muss von Anfang an vollständig und kontrollfähig geplant, vertraglich geregelt, implementiert und dokumentiert werden. Erfahrungsgemäß ist ein nachträglichen Hinzufügen oder Aufrüsten einzelner benötigter Sicherheitsmerkmale nicht oder nur mit unverhältnismäßig hohem Aufwand möglich.

Zu klären ist auch, in welcher Frist und in welcher Weise Mängel der Leistung des Dienstleiters nachzubessern sind. Bereits bei der Vertragsgestaltung ist hierbei dem Risiko eines Ausfalls des betrieblichen IT-Systems Rechnung zu tragen.

Im Vertrag ist ein Verfahren zur Änderung oder Erweiterung von Elementen oder Prozessen der Infrastruktur zu definieren (Change Management). Die Best Practice-Sammlung ITIL und die Norm ISO 20000 können hier als Grundlage dienen, sind aber für die spezifische Anwendung anzupassen.

Oft werden außerdem weitere Vorkehrungen rechtzeitig zu treffen, etwa

• die Bestellung eines Sicherheitsbeauftragten. Dessen Aufgaben und Kompetenzen müssen (auch gegenüber anderen Beauftragten, etwa dem Beauftragten für den betrieblichen Datenschutz oder dem Betriebsrat) klar abgegrenzt werden.
• Sicherheits- und Notfallpläne auszuarbeiten, ebenso u.U. ein Schnellwarnsystem einzurichten.

Fünf-Phasen-Konzept für das Einführen eines Risiko- und Krisenmanagements

Der TÜV-Süd hat ein Fünf-Phasen-Konzept entwickelt [3, hier knapp resümier]:

• Phase 1: Identifizieren der betroffenen Wertschöpfungsprozesse unter Berücksichtigung der Schutzziele und Risikomanagement mit Anforderungs- und Gefährdungsanalyse sowie einer Risiko-Ermittlung und -Bewertung.
• Phase 2: Die Ergebnisse der Risikoanalyse mit den Schutzzielen abgleichen und bewerten und Risiken zumindest mindern.
• Phase 3: Risikomanagement spezifizieren und definieren mit Risiko-Strategien, Befugnissen und Verantwortlichkeiten, Ablauf der Risiko-Erkennung und -Analyse, Festlegen der Akzeptanzgrenzen, Ablauf der Risiko-Bewertung und eine Delta-Analyse.
• Phase 4: Vorgehensweise für die Einführung des Risiko- und Krisenmanagementsystems.
• Phase 5: Auditierung und Zertifizierung des Risikomanagementsystems.

Verantwortlichkeit der Geschäftsleitung

Die Geschäftsleitung des die Einrichtung betreibenden Unternehmens muss außerdem die eigene Risikosphäre klar abgrenzen (etwa über Definition von Schnittstellen), ein gerade  bei vernetzten Systeme wichtiger Punkt. Nur dann kann auch ein bestehendes Risiko abgeschätzt und versichert werden.

Die Geschäftsleitung muss rechtzeitig ein auch präventives Risikomanagements einrichten und laufend kontrollieren. Pflichtverletzungen können persönliche Haftung begründen. Je größer das Risikopotential ist, desto sorgfältiger müssen die Kontrollen durchgeführt werden. Diese Pflichterfüllung ist (auch aus Beweisgründen) zu dokumentieren.

Quellen:

[1] Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer Infrastrukturen(KRITIS-Strategie),www.bmi.bund.de/cae/servlet/contentblob/544770/ publicationFile/27031/KRITIS.pdf                              

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Kritische Infrastrukturen in Staat und Gesellschaft, www.bsi-fuer-buerger.de/ContentBSI/Publikationen/ Faltblaetter/F17KritischeInfrastruktur.html                  

[3] TÜV Süd, Fünf-Phasen-Konzept, www.tuev-sued.de/anlagen_bau_industrietechnik/ technikfelder/risikomanagement/kritische_infrastrukturen/fueng-phasen_konzept        

[4] BSI, Informationstechnik in der Prozessüberwachung und -steuerung 2008             www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_in_der_Prozesssteuerung_pdf.pdf; zu SCADA s.auch http://en.wikipedia.org/wiki/SCADA.