Neue Meldepflicht für IT-Sicherheitspannen

Von Nadine Stimmer am 18. Dezember 2019

Meldepflicht_IT-Sicherheitspannen_750x250

Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) meldeten Unternehmen 252 IT-Sicherheitsvorfälle im Zeitraum zwischen Juni 2018 und Mai 2019. Die Ausfälle im Bereich der Hard- und Software, insbesondere nach Updates und Patches von relevanter IT-Infrastruktur, verursachten Beeinträchtigungen und Ausfälle der kritischen Dienstleistungen. Am intensivsten betroffen waren das Gesundheits-, Finanz- und Versicherungswesen.

IT-Sicherheitsvorfälle sind häufig

Laut der Cyber-Sicherheits-Umfrage des BSI, die im Februar und März 2019 durchgeführt wurde, war im Jahr 2018 jeder dritte an der Umfrage teilnehmende Betrieb von Cyber-Sicherheitsvorfällen betroffen. Dazu zählten 43 Prozent der Großunternehmen und 26 Prozent der kleinen und mittelständischen Unternehmen. 87 Prozent der Betroffenen mussten Betriebsstörungen oder sogar Betriebsausfälle bewältigen. 65 Prozent mussten zusätzliche Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme hinnehmen, 22 Prozent stellten Reputationsschäden fest.

Diese Zahlen legen nah, dass in der Praxis noch nicht alle erheblichen IT-Sicherheitsvorfälle gemeldet werden. Möglicherweise sind die neuen gesetzlichen Regelungen noch nicht bekannt genug. Daher ist es wichtig, Führungskräfte und Mitarbeiter entsprechend aufzuklären und zu sensibilisieren.

Die Meldepflicht für IT-Sicherheitsvorfälle ist neu

Erst seit 2016 müssen Unternehmen, die unter das IT-Sicherheitsgesetz fallen, IT-Sicherheitsvorfälle an das BSI melden. In Folge legte das BSI 2016 und 2017 in einer Rechtsverordnung (BSI-KritisV) konkrete Vorgaben für sie fest: Unternehmen aus den Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung, Finanzen und Versicherung, Transport und Verkehr sowie Gesundheit können demnach mittels messbarer Kriterien überprüfen, ob ihre Anlagen unter das BSI-Gesetz fallen. Wenn beispielsweise 500.000 Menschen von einer Anlage versorgt werden, könnte ein Ausfall zu einer nationalen Versorgungskrise führen. In einem solchen Fall greift die Meldepflicht. Seit 2018 gilt die Meldepflicht aufgrund der NIS-Richtlinie (Netz- und Informationssicherheit) auch europaweit.

Was muss gemeldet werden?

Unternehmen müssen erhebliche IT-Sicherheitsvorfälle den zuständigen Behörden „unverzüglich“ melden. Dies gilt für IT-Störungen, die eine erhebliche Einschränkung tatsächlich verursachen oder auch nur möglicherweise verursachen können. Unternehmen, die nicht unter die gesetzliche Meldepflicht fallen, können auch freiwillig Meldung erstatten.

Was kann eine Meldung auslösen?

Die Ursache können Softwareprobleme wie Schadprogramme, Sicherheitslücken und Fehlfunktionen sein. Auch von Mitarbeitern verursachte Probleme wie Konfigurationsfehler könnten meldepflichtig sein. Doch auch physische Ursachen können zu einer Meldung führen, wenn sie ein IT-System beeinträchtigen. Beispielsweise könne das Kühlsystem in einem Rechenzentrum ausfallen oder ein Stromkabel durchtrennt werden.

Wann ist eine IT-Störung „erheblich“?

Eine nach der NIS-Richtlinie erhebliche IT-Störung muss gemeldet werden,

  • wenn eine Nicht-Behandlung weitere negative Folgen für das Unternehmen nach sich zieht,
  • wenn ein Unternehmen wegen ihr zusätzliche Personalkapazitäten, Geld- oder Sachmittel einsetzen oder einplanen muss,
  • wenn wegen ihr spezielle Incident-Responder oder Störfallteams eingesetzt werden müssen,
  • wenn wegen ihr zur Vermeidung von Kettenreaktionen wichtige IT-Systeme oder -Komponenten abgeschaltet werden müssen,
  • wenn wegen ihr Betriebsprozesse im Rahmen der Reparaturarbeiten geändert werden müssen,
  • wenn sie einen hohen finanziellen Schaden verursacht und
  • wenn sie vermutlich Ursache eines ungewöhnlichen, zielgerichteten Angriffs ist.
Informationssicherheit
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Globale Sicherheitstrends: Das wird wichtig!
Globale Sicherheitstrends: Das wird wichtig!

Firmen sehen sich unterschiedlichen Risiken gegenüber. Was sie bereits unternehmen und worauf zukünftig das Augenmerk liegen muss, zeigt der Future Report.

Weiterlesen
Top Secret: Dokumenten-Sicherheit ist mehr als nur ein Wasserzeichen
Top Secret: Dokumenten-Sicherheit ist mehr als nur ein Wasserzeichen

Brainloop CollaborationRoom ist eine Geheimwaffe gegen Datendiebe – Dokumente bleiben hier top secret, auch außerhalb der Unternehmensgrenzen.

Weiterlesen
Sicherheitskategorien steuern – auf allen Ebenen
Sicherheitskategorien steuern – auf allen Ebenen

Wie soll man vertrauliche Dokumente bei der Informationsflut heute schützen? Entscheidend ist: IT-Sicherheit funktioniert am Ende nur, wenn sie praktikabel..

Weiterlesen
Brainloop Customer Council: Höchste Ansprüche an Sicherheit
Brainloop Customer Council: Höchste Ansprüche an Sicherheit

Sicherheit in Unternehmen wird immer wichtiger. Rund um dieses Thema gab es am BCC18 spannende Vorträge und regen Austausch mit Kunden und Partnern.

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action