Aufrufe
vor 5 Jahren

die bank 05 // 2016

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION aufsicht – für den Finanzsektor ist das die Bundesanstalt für Finanzdienstleistungsaufsicht BaFin – und dem BSI (Bundesamt für Sicherheit in der Informationstechnik) ausgelotet werden müssen. Im zweiten Absatz wird die Möglichkeit für Betreiber Kritischer Infrastrukturen und ihrer Branchenverbände beschrieben, branchenspezifische Sicherheitsstandards – „B3S“ genannt – zur Gewährleistung der Anforderungen nach Absatz 1 (Mindestsicherheitsniveau) vorzuschlagen. Das BSI stellt dann im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie im Einvernehmen mit der zuständigen Fachaufsichtsbehörde des Bundes auf Antrag fest, ob das erstellte B3S die Anforderungen nach Absatz 1 gewährleistet. Schließlich schreibt der dritte Absatz den Betreibern Kritischer Infrastrukturen vor, mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachzuweisen, z. B. durch Sicherheitsaudits, Prüfungen oder Zertifizierungen. Die Betreiber übermitteln dem BSI eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. In diesem Fall kann das BSI die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Fachaufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen. Meldewesen Das IT-SiG reguliert das Meldewesen im § 8b des BSI-Gesetzes. Das BSI wird als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik vorgegeben. Die Betreiber Kritischer Infrastrukturen werden verpflichtet, dem BSI binnen sechs Monaten nach Inkrafttreten der o. g. Rechtsverordnung eine jederzeit erreichbare Kontaktstelle als zuständigen Empfangspunkt im Rahmen der Kommunikationsstrukturen zu nennen. Absatz 4 spricht u. a. von erheblichen Störungen der Verfügbarkeit und Authentizität der informationstechnischen Systeme, Komponenten oder Prozesse der Betreiber Kritischer Infrastrukturen, die zu einer meldepflichtigen Beeinträchtigung der Funktionsfähigkeit der Infrastrukturen führen könnten. Diese Meldung muss unverzüglich erfolgen (dazu später im Text mehr) und Angaben zu der Störung sowie zu den technischen Rahmenbedingungen – insbesondere der vermuteten oder tatsächlichen Ursache, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers – enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Dabei können die Betreiber, die dem gleichen Sektor angehören, nach Absatz 5 zusätzlich zu den Kontaktstellen eine gemeinsame übergeordnete Ansprechstelle benennen (Single Point of Contact, SPOC). Der Finanzsektor hat davon bereits vier eingerichtet. Mit der Umsetzung des Gesetzes werden wohl noch ein paar hinzukommen, da davon auszugehen ist, dass große Banken und Versicherungsunternehmen direkt an das BSI und die BaFin als Fachaufsicht melden werden und nicht über einen SPOC. Nach Absatz 6 kann das Bundesamt vom Hersteller die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen. Schließlich wird im letzten Absatz der datenschutzkonforme Umgang mit personenbezogenen Daten geregelt, sofern diese zur Erfüllung der Anforderungen des IT-Sicherheitsgesetzes verarbeitet oder genutzt werden, wie ” 1 zeigt. Unter Produkte ist dabei das „Meldeprodukt“ des BSI zu verstehen. Hier handelt es sich also nicht nur um eine Meldung, die das Bundesamt erhält und weiterverteilt, sondern um eine aufbereitete Meldung, in der das BSI ganz verschiedene Quellen und vor allem die eigene Expertise zu einem neuen Produkt verarbeitet. Betroffene Betroffen sind die sieben in ” 2 genannten Sektoren. Nach § 2 Abs. 10 IT-SiG sind Kritische Infrastrukturen Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Durch ihren Ausfall oder ihre Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Die kritischen Infrastrukturen im Sinn dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt. Das BMI spricht von etwa 2.000 betroffenen Unternehmen über alle Sektoren hinweg. Erst mit der Rechtsverordnung werden die kritischen Einrichtungen etc. bestimmt. Die Unternehmen selbst werden anhand des im Zug der Rechtsverordnung entstandenen Kriterienkatalogs entscheiden, ob sie kritisch im Sinn des IT-Sicherheitsgesetzes sind. Der Staat muss auf diese Weise nicht die unkritische Spreu vom kritischen Weizen trennen. Als Ergebnis der Rechtsverordnung kann pro Sektor mit einer Tabelle gerechnet werden, die zum jeweiligen Anlagentyp (z. B. Stromversorgung, Bargeldversorgung) einen Schwellenwert (etwa die versorgte Einwohnerzahl) nennt. Entwurf der Verordnung für Korb 1 Durch die im Januar veröffentlichte Verordnung sollen Betreiber Kritischer Infrastrukturen in die Lage versetzt werden, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Für die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen ergibt sich dies bereits direkt aus dem 48 diebank 05.2016

IT & KOMMUNIKATION ó Gesetz. Die Verordnung bestimmt nun zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und (sonstiger) Telekommunikation, Wasser und Ernährung – das sind die Sektoren des sogenannten Korbs 1. Hierfür werden 650 als Kritische Infrastruktur geltende Anlagen genannt. Als Anlagen gelten dabei Betriebsstätten und sonstige ortsfeste Einrichtungen sowie Maschinen, Geräte und sonstige ortsveränderliche technische Einrichtungen, die zur Erbringung einer kritischen Dienstleistung erforderlich sind. Von besonderem Interesse ist der branchenspezifische Schwellenwert, bei dessen Erreichen bzw. Überschreitung der Versorgungsgrad einer Anlage als bedeutend im Sinn des BSI- Gesetzes anzusehen ist. Die Verordnung legt diesen Wert auf 500.000 zu versorgende Personen fest. Dahinter steht die Überlegung, dass Ausfälle Kritischer Infrastrukturen bis zu einer gewissen Größenordnung über Notfallkapazitäten in eingeschränkter Form aufgefangen werden können. Übersteigen solche Ausfälle die Kompensationsfähigkeit der Notfallvorsorge, kommt es zu Versorgungsengpässen. Da in der Notfallvorsorge bislang nur punktuell konkrete Schutzziele festgelegt wurden, ist ein Schwellenwert an Erfahrungswerten festzumachen. Eine exemplarische Analyse von Notfallplanungen bzw. Notfallkapazitäten aus Bundessicht zeigt, dass eine Kapazitätsgrenze für die untersuchten Beispiele in einem Korridor um eine halbe Million Betroffener liegt. Größere Ausfälle können mit den vorhandenen Notfallkapazitäten nicht mehr ausreichend kompensiert werden. Dies betrifft insbesondere die Stromversorgung. Bis Ende 2016 sollen per Änderungsverordnung auch die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen (Finanzsektor) – also der Korb 2 – geregelt werden. Die Verordnung für Korb 1 kann keine Aussagen für die Sektoren des Korbs 2 treffen. Aber die Struktur und Argumentation der Verordnung wird sicher ähnlich sein. Abzuwarten bleibt, inwieweit der branchenspezifische Schwellenwert von 500.000 Betroffenen für den Finanzsektor angemessen ist. Anders als bei der Strom- oder Wasserversorgung bieten sich im Finanzsektor verschiedene Ergänzungsmöglichkeiten an: Bargeld und Kartenzahlungen substituieren sich gegenseitig, und auch ohne Online Banking kann der Bürger weiterhin mit Karte oder Bargeld einkaufen. Sicht auf den Finanzsektor In ” 3 sind die Kritischen Infrastrukturen nach Ansicht der Bundesressorts (bei der Abstimmung des IT-SiG) sowie der BaFin als Fachaufsicht gegenübergestellt. Die Auffassung des Finanzsektors selbst lässt sich aus der sogenannten Sektorstudie des BSI lesen, die das Amt Ende 2015 veröffentlicht hat. Hiernach sind kritisch: Für die Branche Kreditinstitute: ó Bargeldversorgung ó kartengestützter Zahlungsverkehr ó Abwicklung Zahlungsverkehr Für die Branche Börse: ó Verrechnung von Wertpapiergeschäften ó Abwicklung und Verwahrung von Wertpapiergeschäften Wichtig zu erwähnen ist die Prämisse des BSI, für die Studie zu untersuchen, was bei dem Ausfall einer kritischen Versorgungsdienstleistung passiert – unabhängig von ihrer Substituierbarkeit. Weitere Regelungsinhalte Neben dem nun einzuhaltenden und nicht nur zu berücksichtigenden Stand der Technik sind auch die Bußgeldvorschriften sowie die Mitwirkung der Hersteller wichtig. Bußgeldvorschriften § 14 des BSI-Gesetzes besagt, dass ordnungswidrig handelt, wer vorsätzlich oder fahrlässig ó eine(Sicherheits-)Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft, ó einer vollziehbaren Anordnung nach Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse oder der Beseitigung der Sicherheitsmängel zuwiderhandelt, ó eine Kontaktstelle nicht oder nicht rechtzeitig benennt oder ó eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. 2 Betroffene Sektoren nach IT-Sicherheitsgesetz Ernährung Finanz- und Versicherungswesen Wasser Staat und Verwaltung Medien und Kultur Energie Gesundheit Transport und Verkehr IT und TK Erläuterung: Die Sternchen besagen, dass für die Branchen Strom und Gas des Sektors Energie sowie für den Sektor IT und TK bereits Sicherheitskataloge der Fachaufsicht (Bundesnetzagentur) vorhanden sind. Quelle: BSI. * * 05.2016 diebank 49

die bank