IT-Sicherheitsgesetz 2.0

Interview mit Alexander Schlensog

IT-Sicherheitsgesetz 2.0 - Regulierung, Normierung und Auswirkungen auf betroffene Unternehmen

Die Auswirkungen des IT-Sicherheitsgesetzes 2.0 sind vielfältig. Der Bereich der betroffenen KRITIS-Sektoren wurde leicht erweitert bzw. angepasst. Was Unternehmen hinsichtlich der Neuerungen beachten müssen, erklärt Alexander Schlensog, Bereichsleiter Consulting Services in der Division Industry bei secunet Security Networks AG.

Eine neue Klasse von Betroffenen, die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (kurz UBI), ist in der aktuellen Gesetzesfassung enthalten. Was bedeutet das genau?

Das sind Unternehmen, die einer bestimmten Klasse gemäß Störfall-Verordnung unterliegen.  Aber auch Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung sind, sind davon betroffen. Häufig taucht hier die Bezeichnung „Top-100-Liste“ auf. Unternehmen, die bestimmte Güter gemäß Außenwirtschaftsverordnung herstellen, wurden ebenfalls aufgenommen.

Mit welchen neuen Anforderungen müssen sich betroffene Unternehmen jetzt intensiv auseinandersetzen?

Aus technischer bzw. organisatorischer Sicht wird ergänzend die Einführung einer Angriffserkennung gefordert. Selbst wenn vereinzelt klassische IDS eingesetzt werden, fehlt es überwiegend noch an einer wirksamen Angriffserkennung in den IT- bzw. OT-Netzen, z. B. im Bereich von Leitstellen. Hier sind die Betreiber klar aufgefordert, nachzusteuern.

ISO-Normen unterliegen einer Weiterentwicklung, im Februar 2022 wurde die neue Fassung der Norm ISO/IEC 27002 veröffentlicht. Können Sie uns mehr Informationen zu den Veränderungen geben?

Die Änderungen in der neu veröffentlichten internationalen Norm ISO/IEC 27002:2022 wirken sich in vielfältiger Weise aus. Z. B. wird aktuell auch die Norm ISO/IEC 27001 angepasst, um die Änderung widerzuspiegeln. Zum anderen wird in Zukunft auch die Norm ISO/IEC 27019 angepasst werden, da diese die Strukturänderungen der ISO/IEC 27002 ebenfalls abbilden muss. Darüber hinaus beinhalten weitere Unterlagen und Hilfsmittel Verweise auf die „alte“ Norm, und sollten auch angepasst werden. Das sind z. B. einige branchenspezifische Sicherheitsstandards (B3S) oder das Whitepaper des BDEW. Natürlich sind auch die Managementsysteme der zertifizierten Unternehmen selbst auf die jeweils gültigen Fassungen zu adaptieren. Denn mit der Veröffentlichung der neuen Norm wird automatisch die Vorgängerversion zurückgezogen. Eine Übergangsfrist ermöglicht den Betreibern bzw. anderen Organisationen eine reibungslose Umstellung.

Was hat sich an der Norm ISO/IEC 27002 geändert?

Die Änderungen sind zahlreich. Im Kern wurden Ziele und Kontrollen komplett neu strukturiert, zusammengefasst und inhaltlich überarbeitet bzw. erweitert. Daneben wurde eine Reihe neuer Themen aufgenommen wie z. B. Monitoring activities, Web filtering und Data leakage. Somit wird das viel diskutierte Thema Angriffserkennungssysteme (siehe IT-SiG 2.0) auch fortan im Standard verankert. BCM – Business Continuity Management – tritt deutlicher in den Vordergrund (ICT readiness for business continuity). Ebenso wurde das Thema Cloud Services nun explizit aufgenommen.

Welche Ziele werden dabei verfolgt?

Im Bereich BCM sollen auf Grundlage der Ergebnisse von Business Impact Analysen (BIA) und Risikobewertungen Strategien und weitere Maßnahmen abgeleitet werden, mit dem Ziel, die wichtigen IKT-Dienste besser zu schützen. Ein weiteres neues Element, die sichere Software-Entwicklung (Secure coding), setzt den Fokus darauf, Fehlerquellen möglichst „früh“ in der Lieferkette zu beseitigen. Am Ende können damit Kosten insgesamt reduziert werden.

Wie wird die Einhaltung der neuen Anforderungen sichergestellt?

Auditoren werden die neuen Ziele in den Audits besonders betrachten. Dies gilt sowohl für Betreiber von IT als auch für Betreiber von OT (Prozess-IT), da beide Welten immer stärker konvergieren oder auch Cloud-Lösungen zum Einsatz kommen.