Mit dem IT-Sicherheitsgesetz vom 25. Juli 2015 sind in Deutschland umfangreiche Anforderungen an die Betreiber kritischer Infrastrukturen verabschiedet worden, ihre IT-Systeme vor Angriffen zu schützen. Die Betreiber kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (IKT), Gesundheit, Finanz- und Versicherungswesen sowie Transport und Logistik müssen die für kritische Dienstleistungen benötigten Anlagen durch Maßnahmen nach dem “Stand der Technik” absichern sowie Störung dieser Systeme dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Gesetz selbst definiert allerdings nicht, welche Dienstleistungen der genannten Sektoren als kritisch anzusehen sind und welche Anlagen hierfür benötigt werden. Das Gesetz ermächtigt das Bundesministerium des Innern (BMI), im Einvernehmen mit weiteren Bundesministerien sowie nach Konsultation der Branchenverbände eine Verordnung zu erlassen, die genauer definiert, welche Dienstleistungen betroffen sind. Insbesondere muss BMI branchenspezifische Schwellwerte definieren, ab denen der Versorgungsgrad einer Dienstleistung als kritisch anzusehen ist. Die Verpflichtung zum Ergreifen der Sicherheitsmaßnahmen und die Meldepflicht treffen den Betreiber kritischer Dienstleistungen erst zwei Jahre nach Inkrafttreten dieser Verordnung, da er erst ab diesem Zeitpunkt absehen kann, welche Maßnahmen in welchem Umfang zu ergreifen sind.

Die Erstellung dieser Rechtsverordnung war eine überaus komplizierte Angelegenheit, weil dazu für jeden Sektor im Dialog mit den Branchenverbänden und den jeweiligen Fachministerien zu ermitteln war, von welchen Dienstleistungen das Funktionieren eines Sektors abhängt, in welchem Maße (IKT-)Ausfälle kritisch sind und wie man entsprechende branchenspezifische Schwellwerte definieren kann. Zur Vorbereitung dieser Arbeit hatte das BSI für jeden der Sektoren eine umfangreiche Studie erstellen lassen, die die Leistungserbringung im Sektor analysiert. Wegen der Komplexität der Aufgabe ist BMI schrittweise vorgegangen und die Verordnung in zwei Körbe aufgeteilt: Im ersten Schritt wurde am 3. Mai 2016 eine Verordnung für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation (IKT) erlassen (BSI-Kritisverordnung). Für die dort genannten Dienstleistungen werden technisch-organisatorische Maßnahmen schon ab Mai 2018 verpflichtend (und bußgeldbewehrt). BMI schätzt die Gesamtzahl der vom ersten Korb betroffenen Anlagen auf bundesweit 730.

Nun ist der zweite Korb fertig gestellt worden. Mit der Ersten Verordnung zur Änderung der BSI-Kritisverordnung werden auch die kritischen Dienstleistungen und Schwellwerte für das Gesundheitswesen, Banken und Versicherungen sowie Transport und Logistik festgelegt. Die Verordnung trat am 30. Juni 2017 in Kraft. Betreiber der betroffenen Dienstleistungen dieser drei Sektoren haben nun zwei Jahre bis Mitte 2019 Zeit, die Vorgaben des IT-Sicherheitsgesetzes zu erfüllen. Insgesamt werden nach Schätzungen des BMI in den drei Sektoren weitere 915 Anlagen zum Kreis der verpflichteten kritischen Infrastrukturen hinzugefügt. Die Anzahl der Betreiber liegt etwas geringer, da manche Betreiber mehrere Dienstleistungen erbringen und dafür Anlagen betreiben. Insgesamt dürften vom IT-Sicherheitsgesetz in Summe 1200 bis 1500 Unternehmen (und öffentliche Einrichtungen) betroffen sein.

Im Einzelnen hat die Bundesregierung für die drei neu geregelten Sektoren folgende Dienstleistungen in die Verpflichtung aufgenommen:

(a) Gesundheitswesen

Die Bedeutung des Sektors Gesundheit als kritische Infrastruktur ist evident. Die Verordnung konzentriert sich auf den Ersten Gesundheitsmarkt und nimmt dort vor allem die Leistungserbringer-Seite in den Blick. Krankenversicherungen werden im Sektor Banken und Versicherungen betrachtet. Auf die Aufnahme einzelner Ärzte und Apotheken wird verzichtet. Stattdessen konzentriert man sich auf große Krankenhäuser, Hersteller, große Labors, wichtige Vertriebseinrichtungen. Entsprechend der Orientierung an einem Versorgungsgrad von 500.000 Menschen werden folgende Dienstleistungen erfasst (in Klammern jeweils die vom BMI geschätzte Zahl der betroffenen Anlagen):

• Krankenhäuser (110)
• Produktion und Vertrieb bestimmter lebenserhaltender Medizinprodukte, z.B. Insulin, Mittel für künstliche Ernährung/Beatmung (2)
• Produktion und Vertrieb verschreibungspflichtiger Medikamente (151)
• Labore (105)

(b) Banken und Versicherungen

Das Finanzwesen hat eine querschnittliche Funktion für das Funktionieren von Wirtschaft und Gesellschaft. Ohne Bargeldversorgung, ohne Finanztransaktionen würden nicht nur Märkte zusammenbrechen, auch staatliche Leistungen würden ihre Empfänger nicht mehr erreichen. Die Verordnung nimmt hierbei alle Arten von Zahlungsverkehr und Wertverrechnung in den Blick, sowohl die Bargeldversorgung wie auch bargeldlose Zahlungen und Abwicklung von Wertpapiergeschäften. Umstritten war die Einbeziehung der Versicherungswirtschaft, weil der Europäische Gesetzgeber in der NIS-Richtlinie darauf verzichtet hatte. Den deutschen Verordnungsgeber hat das nicht beeindruckt: Mit der Begründung, dass auch wiederkehrende Versicherungsleistungen (z.B. Renten) oder die Regulierung hoher Schäden für die Bevölkerung eine lebensnotwendige Funktion hat, werden die Versicherungen einbezogen. Im Einzelnen sind im Finanzwesen folgende Dienstleistungen erfasst, jeweils aber nur die bedeutendsten Einrichtungen entsprechend detailliert definierter Schwellwerte:

• Bargeldversorgung – von der Autorisierung über Cash-Center bis zum Clearing (176)
• Kartengestützte Zahlungssysteme (POS-Systeme) – vom Terminalbetreiber über Clearing bis zu Kontoführungssystemen (36)
• Konventioneller Zahlungsverkehr – Überweisung/Lastschrift (24)
• Wertpapierabwicklung (7)
• Versicherungsleistungen – neben privaten Kranken-, Lebens- und Kompositversicherungen auch die gesetzlichen Renten-, Unfall-, Arbeitslosen- und Krankenversicherungen (113)

Eine Besonderheit hat der Verordnungsgeber für den Bereich des Zahlungsverkehrs vorgesehen: Während normalerweise die im Sektor tätigen Unternehmen als Betreiber der kritischen Infrastrukturen verantwortlich sind für die Erfüllung der Pflichten des IT-Sicherheitsgesetzes, soll bei Banken eine Abweichung gelten: Sofern die Banken den Zahlungsverkehr selbst an Dienstleister ausgelagert haben, sollen ausnahmsweise diese direkt für Schutzmaßnahmen und Meldepflichten verantwortlich sein, nicht mehr die Banken.

(c) Transport und Verkehr

Der Verkehrssektor war bei der Entstehung der Verordnung besonders umstritten und sorgte für eine monatelange Verzögerung. Hintergrund war die Lobbyarbeit der Verkehrs- und Logistikbranche gegen eine zu starke Einbeziehung in den Kreis der verpflichteten Unternehmen. Dies betraf Flughäfen ebenso wie ÖPNV-Betreiber. Im Ergebnis werden jeweils nur die größeren Einrichtungen berücksichtigt. Die Verordnung konzentriert sich im Wesentlichen auf die großen Systeme des Personenverkehrs (Eisenbahn, Luftfahrt, ÖPNV) sowie den Güterverkehr (hier auch Straßenverkehr und Schifffahrt). Ergänzend kommend die Logistikdienstleister hinzu, die wichtige Bedeutung für die Versorgung der Bevölkerung haben. Manche Schwellwerte erscheinen – auch im Vergleich zu anderen Sektoren – etwas gegriffen, vermutlich Ergebnis der Verhandlungen mit den Verbänden. Im Einzelnen fallen folgende Dienstleistungen unter das Gesetz:

• Luftverkehr – Flughäfen einschließlich Frachtabfertigung und Flugsicherung (9)
• Schienenverkehr – Große Bahnhöfe, Stellwerke, Leitsysteme und -zentralen (56)
• See- und Binnenschifffahrt – Größere Häfen, Steuerungssysteme und -zentralen (12)
• Straßenverkehr – Verkehrssteuerungssysteme von Bundesautobahnen, aber auch größere Systeme im kommunalen Bereich (79)
• ÖPNV – Stellwerke, Verkehrssteuerung (30)
• Logistik – Logistikzentren und Logistiksteuerung (4)

Ergänzend hat der Verordnungsgeber dem Sektor Transport und Verkehr auch die Wettervorhersage, Gezeitenvorhersage und das Satellitennavigationssystem Galileo zugeordnet und als kritische Dienstleistung definiert (6 Anlagen).

Für jeden der oben genannten Dienstleistungsbereiche definiert die Verordnung, was für eine Art Anlagen jeweils für die Erbringung der kritischen Dienstleistung erforderlich ist, z.B. für den Bereich ÖPNV

• Schiennetz und Stellwerke
• Verkehrssteuerungs- und Leitsystem
• Leitzentrale

Auf dieser Basis muss der oberhalb der Schwellwerte liegende Betreiber nun seine eigenen betrieblichen Anlagen auf Konformität mit den gesetzlichen Verpflichtungen überprüfen und ggf. ergänzende Maßnahmen ergreifen.

Mit dem zweiten Korb der BSI-Kritisverordnung und dem zeitgleich in Kraft getretenen Gesetz zur Umsetzung der EU-NIS-Richtlinie hat der deutsche Gesetzgeber das IT-Sicherheitsrecht für die kritischen Infrastrukturen komplettiert und auch den europäischen Vorgaben angepasst. Deutschland hat damit die IT-Sicherheit der kritischen Infrastrukturen umfassend geregelt. Außen vor sind allerdings weiterhin die Bereiche der Medien sowie die öffentliche Verwaltung von Bund und Ländern. Für Medienunternehmen müssten die Bundesländer einen Staatsvertrag erlassen, für die öffentliche Verwaltung müssten Bund und Länder entsprechende Gesetze verabschieden. Für den Bereich der Bundesverwaltung gibt es bereits Regelungen zur IT-Sicherheit im BSI-Gesetz sowie verwaltungsinterne Vorschriften. Sie bleiben allerdings hinter den Regelungen für die Privatwirtschaft zurück, insbesondere was die Rechte des BSI angeht und die Möglichkeit zur Verhängung von Bußgeldern.

IT-Sicherheitsgesetz:
http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf

Sektorstudien:
http://www.kritis.bund.de/SubSites/Kritis/DE/Publikationen/Sektorstudien/Sektorstudien_node.html

Erste Verordnung zur Änderung der BSI-Kritisverordnung:
http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s1903.pdf

Informationen zum zeitgleich in Kraft getretenen NIS-Umsetzungsgesetz:
http://www.cr-online.de/blog/2017/05/14/it-sicherheit-bundestag-verabschiedet-nis-umsetzungsgesetz/

Martin Schallbruch, 07. Juli 2017