Mitte Juli 2024 hat ein fehlerhaftes Update des US-Unternehmens Crowdstrike die IT-Systeme von Flughäfen, Krankenhäuser und anderen Organisationen der Kritischen Infrastruktur (KRITIS) weltweit lahmgelegt – ein worst case, der von Experten bereits früh als einer der schwerwiegendsten IT-Ausfälle der letzten Jahrzehnte bezeichnet wurde. Flugzeuge blieben am Boden, in Krankenhäusern konnte nicht operiert werden und auch der weit verbreitete Cloud-Service Microsoft 365 funktionierte zeitweise nicht. Doch nicht nur große Störfälle mit globalen Auswirkungen sind für Organisationen der KRITIS von Relevanz für einen sicheren und zuverlässigen Betrieb. Bereits kleinere Vorkommnisse können die Sicherheit in der Kritischen Infrastruktur erheblich beeinträchtigen und unterliegen daher bestimmten Meldepflichten. Bei Nichtbeachtung drohen hohe Bußgelder.
In Zeiten des steigenden Risikos von Cyber-Angriffen und Sicherheitslücken in der IT wirft dies Fragen auf: Wann sind Unternehmen und Organisationen überhaupt meldepflichtig? Welche Art von Vorfällen muss an staatliche Behörden gemeldet melden? Und welche Rolle spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Meldung von Vorfällen? In diesem Blogartikel klären wir über alle wichtigen Aspekte zur Meldepflicht in der IT-Infrastruktur von Organisationen in der Kritischen Infrastruktur auf.
Meldepflicht für KRITIS-Organisationen mit Schlüsselrolle in Gesellschaft & Wirtschaft
Grundsätzlich gilt, dass relevante Vorfälle bei der zuständigen nationalen Behörde gemeldet werden müssen. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cyber-Sicherheitsbehörde mit Sitz in Bonn zuständig für alle Arten von IT-Störungen. Ein Vorfall muss immer dann gemeldet werden, wenn die Störung erhebliche Auswirkungen auf die Bereitstellung „wesentlicher Dienste“ hat. Welche Bereiche zu diesen „wesentlichen Diensten“ zählen, hat der Gesetzgeber international und national im Rahmen der europäischen NIS-2-Richtlinie (Netzwerk & Informationssysteme) und des deutschen BSI-Gesetzes festgelegt. Darunter fallen solche Organisationen mit entsprechenden Dienstleistungen und Produkten, die eine Schlüsselrolle in der Gesellschaft und Wirtschaft einnehmen und deren Störungen signifikante Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivitäten haben können. Konkret betrifft dies vorrangig KRITIS-Organisationen aus den Sektoren Energie, Verkehr, Gesundheit, Wasserversorgung, Finanz- und Versicherungswesen, IT, Telekommunikation, Rüstung und Abfallwirtschaft.
Unverzügliche Meldung bei erheblichen Störungen von IT-Systemen oder IT-Daten
In diesen Sektoren gelten solche Sicherheitsvorfälle als zwingend meldepflichtig, die zu erheblichen Störungen der Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität von IT-Systemen und IT-Daten führen und die „wesentlichen Dienste“ beeinträchtigen. Betroffene Organisationen sollten dabei unbedingt schnell handeln, denn bei einem auftretenden Störfall muss die Meldung beim BSI unverzüglich erfolgen. Juristisch gesprochen bedeutet dies eine schnelle Mitteilung von relevanten Vorfällen „ohne schuldhaftes Zögern“. Hierfür hat das BSI ein eigenes digitales Melde- und Informationsportal (MIP) eingerichtet, über das IT-Sicherheitsrelevante Ereignisse gemeldet werden können. Die Meldung muss dabei die folgenden Informationen enthalten:
– Art des Vorfalls
– betroffene Systeme
– Auswirkungen des Vorfalls
– mögliche Ursachen
– getroffene Maßnahmen zur Behebung der Störung
Auch muss die Meldung präzise, vollständig und vor allem rechtzeitig sein, denn der erste Bericht ist laut Gesetz unverzüglich nach Bekanntwerden des Vorfalls einzureichen. Hier gilt: Schnelligkeit geht vor Vollständigkeit. Eine ausführliche zweite Meldung mit detaillierteren Informationen kann und sollte dann folgen, sobald weitere Details zum Störfall bekannt sind. Bleibt die Meldung aus oder wird zu spät gemeldet, drohen hohe Bußgelder und weitere rechtliche Konsequenzen.
Dokumentationspflicht & Unterstützungsangebote
Neben der unverzüglichen Meldung sind KRITIS-Organisationen auch dazu verpflichtet, umfangreiche Dokumentationen über die Art des Vorfalls, die betroffenen Systeme, die Auswirkungen, die unternommenen Maßnahmen und die Kommunikation mit den staatlichen Behörden zu führen. Bei Audits und Nachprüfungen können diese Dokumentationen unter Umständen durch das BSI eingefordert werden. Doch die öffentliche Stelle für Cyber-Sicherheit lässt betroffene KRITIS-Organisationen bei Fragen zur Meldepflicht sowie der Einreichung und Dokumentation von Meldungen nicht allein: Das BSI und nachgelagerte Sicherheitsbehörden bieten weitreichende Unterstützung zum Umgang mit Sicherheitsvorfällen an, u.a. durch praxisorientierte Leitfäden, Schulungen zur Meldepflicht und einen Methodenkoffer mit Mini-Games und Trainingsspielen für den Einsatz in Organisationen der Kritischen Infrastruktur.
Ihre Organisation zählt zur KRITIS und ist von der Meldepflicht betroffen? Unsere NETHINKS-Experten beraten Sie gerne persönlich zum Umgang mit IT-Sicherheitsrelevanten Ereignissen und der Meldung von Störfällen.
Sie haben noch Fragen? Wir haben die Antworten
So erreichen Sie uns auch gerne direkt:
Noch Fragen zu den Themen Network oder VoIP?
NT/DSL
Schnelles DSL für Ihr Unternehmen
NT/Voice
Maßgeschneiderte Telefonie-Lösungen
NT/
CONNECT
Die Lösung für alle Anforderungen
TK-Anlage/
Asterisk
Moderne Telefonie auf Open-Source-Basis