Auszug aus Ausgabe 11/2017 der Branchenzeitschrift „Molkerei-Industrie“:

Der Handlungsbedarf wächst – Milchindustrie muss sich dem IT-Sicherheitsgesetz schnellstmöglich widmen.

Die fortschreitende Digitalisierung der Wirtschaft und Gesellschaft erzeugt nicht nur erhebliche Nutzeneffekte, sondern gleichzeitig auch wachsende Sicherheitsgefahren. Darauf hat der Gesetzgeber reagiert und 2015 das IT-Sicherheitsgesetz (IT-SiG) beschlossen, das auch für die Unternehmen der Ernährungsbranche gilt. Das IT-SiG unterscheidet zwischen den sogenannten KRITIS-Sektoren, also Branchen mit einer für die Bevölkerung Kritischen Infrastruktur. Dazu gehören Energie, Wasser, Informations- und Kommunikationstechnologie, Ernährung, Finanzdienstleistungen, Transport und Verkehr sowie Gesundheit. Diese Branchenbereiche werden deshalb als kritisch definiert, weil sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und deren Ausfall oder Beeinträchtigung Engpässe in der Versorgung oder erhebliche Gefährdungen für die öffentliche Sicherheit verursachen würden.

Anforderungen des IT-SiG

Im Kern zielt das IT-SiG darauf ab, dass die sogenannten KRITIS-Unternehmen ein Mindestniveau an IT-Sicherheit nach dem Stand der Technik einhalten. Die Kernanforderungen des IT-SiG bestehen aus drei Punkten:

• Innerhalb von sechs Monaten nach in Kraft treten der Rechtsverordnung muss eine Kontaktstelle für Sicherheitsvorfälle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet werden. Dies kann auch mittels einer übergeordneten Kontaktstelle von Unternehmen des gleichen Sektors – etwa durch einen Branchenverband initiiert – erfolgen.
• Zwei Jahre nach in Kraft treten der Rechtsverordnung muss die IT nach dem Stand der Technik abgesichert werden.
• Die Erfüllung dieser Anforderungen muss mindestens alle zwei Jahre gegenüber dem BSI nachgewiesen werden – etwa durch Sicherheitsaudits, Prüfungen oder Zertifizierungen. Wichtig ist aber auch zu wissen, dass Störungen dem BSI über die Kontaktstelle gemeldet werden müssen, etwa bei einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur eines Betreibers. „Unter außergewöhnlichen Störungen versteht das BSI beispielsweise neue und noch nicht veröffentlichte Sicherheitslücken oder Hackerangriffe“, erläutert Axel Amelung, Senior Account Manager bei der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA.

Handlungsbedarf leitet sich nicht nur aus den Schwellenwerten ab

Die Umsetzung des IT-SiG wird durch entsprechende Rechtsverordnungen konkretisiert. Darin sind Schwellenwerte definiert, anhand derer die zu schützenden technischen Anlagen identifiziert werden können. Für die Sektoren Energie, Wasser, Informations- und Kommunikationstechnologie sowie Ernährung wurde im Mai 2016 eine Rechtsverordnung (BSI-KritisV) einschließlich der jeweiligen Schwellenwerte veröffentlicht. Die Schwellenwerte leiten sich aus der vermutlichen Anzahl der mit der kritischen Dienstleistung versorgten Personen ab. In der Rechtsverordnung gilt der Versorgungsgrad dann als bedeutend, wenn 500.000 Personen oder mehr durch die kritische Dienstleistung versorgt werden. Diejenigen Unternehmen, die über den Schwellenwerten liegen, sind verpflichtet, die Anforderungen des IT-SiG umzusetzen. Im KRITIS-Sektor Ernährung liegen die Schwellenwerte bei 434.500 Tonnen für Speisen bzw. 350 Mio. Liter für Getränke pro Jahr. Es ist jedoch zu vermuten, dass diese Werte vom Gesetzgeber mit der Zeit angepasst werden. Auch Zulieferer sollen miterfasst werden. Doch damit entfällt nicht zwangsläufig ein Handlungsbedarf für alle Unternehmen, die den Schwellenwert unterschreiten. Dies resultiert vor allem auch daraus, dass die Unternehmen in ihren gesamten Wertschöpfungsprozessen sehr vernetzt sind und ein hohes Niveau in der Informationssicherheit nur dann gewährleistet werden kann, wenn die gesamten weiteren Leistungspartner ähnliche Standards aufweisen. „Gerade für den Food-Sektor ist zu erwarten, dass der Lebensmittelhandel von den Produzenten die Einhaltung des IT-SiG auch unabhängig von Schwellenwerten einfordern wird“, ist sich Amelung sicher. Insofern sollten auch solche Unternehmen IT-SiG-konforme Sicherheitsbedingungen anstreben, die unterhalb der KRITIS-Schwellenwerte fallen.

Was bedeutet „Stand der Technik“?

Die Unternehmen stehen jedoch vor der Frage, was konkret darunter zu verstehen ist, die IT wie gefordert auf den „Stand der Technik“ zu bringen. In der Lesart des IT-SiG heißt dies, dass den Unternehmen die Pflicht obliegt, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“1 Dabei kann der „Stand der Technik“ insbesondere aus relevanten Normen und Standards abgeleitet werden, im Falle des IT-SiG etwa die internationale Norm ISO/IEC 27001 für das Informationssicherheits-Management (ISMS). In großer Mehrheit verfügen die Unternehmen noch nicht über ein ISMS. „In diesen Fällen stehen sie vor einem Projekt, das ihnen auf der einen Seite zwar erhebliche Sicherheitsvorteile in einer Welt deutlich gestiegener und weiter wachsender Cyber-Gefahren bietet, aber durchaus mit einem deutlichen Aufwand verbunden ist“, erläutert Amelung.

Aufbau eines ISMS

Eine zentrale Rolle spielt beim Aufbau eines ISMS die vollständige Identifikation, Analyse und Behandlung von Informationssicherheitsrisiken sowie die kontinuierliche Aufrechterhaltung und Weiterentwicklung der Informationssicherheit. Der generische Ansatz der Norm unterstützt Unternehmen dabei, geeignete Verfahren und Maßnahmen zu definieren, um Risiken auf ein akzeptables Niveau zu reduzieren und ein angemessenes Schutzniveau für die eigenen Bedürfnisse festzulegen. Es erfordert allerdings ein tiefgehendes fachliches Know-how und ein hohes Maß an Erfahrung, da der ISMS-Prozess die individuellen Belange der Unternehmen berücksichtigen muss. „Wer noch nicht damit begonnen hat, gerät inzwischen in einen großen Handlungsdruck“, verweist Amelung auf die gesetzlichen Fristen. Mit dem Aufbau des ISMS allein ist es jedoch noch nicht getan, weil die Betreiber Kritischer Infrastrukturen (KRITIS) alle zwei Jahre die Umsetzung von IT-Sicherheitsmaßnahmen gegenüber dem BSI nachweisen müssen. Für den Nachweis bedarf es einer dokumentierten Prüfung durch ein unabhängiges und qualifiziertes Prüfteam. Die TÜV  TRUST IT hat ihre Prüfer entsprechend ausgebildet und erfüllt als Prüfstelle die vom BSI vorgegebenen Anforderungen des IT-SiG.

Milchindustrie kann eigene Standards definieren

Um konkrete Anforderungen an die IT zu definieren, können KRITIS-Betreiber und ihre Verbände auch branchenspezifische Sicherheitsstandards (B3S) erarbeiten. „Eine branchenspezifische Anforderungsdefinition stellt für die Milchindustrie eine interessante Alternative dar“, so der Senior Account Manager der TÜV TRUST IT. „Dafür stellen wir gerne unsere Expertise in der Informationssicherheit sowie weitreichende Branchenkompetenzen zur Verfügung.“ Doch unabhängig davon, ob ein branchenbezogener Standard entwickelt wird oder sich die Unternehmen der Milchindustrie für ein individuelles ISMS nach den Vorgaben des IT-SiG entscheiden, ist nach Meinung von Amelung ein zügiges Handeln notwendig. „Der Zeitdruck wächst, deshalb sollten weitere Verzögerungen unbedingt vermieden werden.“ Um die Anforderungen des IT-SiG für die Milchindustrie zu analysieren hat im Frühjahr 2017 bereits ein von dem Milchindustrie- Verband e.V. (MIV) initiierter Workshop mit der TÜV TRUST IT im Rahmen eines Arbeitskreises stattgefunden, in dem mögliche Lösungsansätze für die Verbandsmitglieder diskutiert wurden. Diese Diskussionen werden im MIV Arbeitskreis IT fortgeführt.

Den vollständigen Artikel in der Branchenzeitschrift „Molkerei-Industrie“ finden Sie unter: www.moproweb.de