Einhaltung gesetzlicher Vorschriften: Regulatory Compliance in Deutschland, Österreich und der Schweiz

Neben generellen Regularien wie der Europäischen Datenschutzgrundverordnung (GDPR, Link zu: https://www.sailpoint.com/identity-library/what-is-gdpr/?elqct=Website&elqchannel=Identity-Library-Compliance, kürzlich übersetzt) gibt es weitere gesetzliche Vorgaben, die für Unternehmen in der DACH-Region entscheidend sind – besonders dann, wenn sie kritische Infrastrukturen betreiben.

Wichtige Beispiele für entsprechende gesetzliche Vorschriften sind:

• NIS-Richtlinie (EU-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit)
• BSI-Kritisverordnung (Deutschland)
• ITSIG IT-Sicherheitsgesetz (Deutschland)
• NIS-Gesetz (Österreich)
• APCIP – Österreichisches Programm zum Schutz kritischer Infrastrukturen
• IT-Sicherheitsgesetz bzw. Informationssicherheitsgesetz (Schweiz)
• SKI – Nationale Strategie zum Schutz kritischer Infrastrukturen (Schweiz)

In diesem Kontext wird auch auf die TISAX-Zertifizierung und ISO 27001 als internationale, zertifizierbare Standards zur Sicherheit von Informationsmanagement-systemen eingegangen.

Hohe Sicherheitsstandards für kritische Infrastrukturen

Als kritische Infrastruktur gelten Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung sind. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt im Bereich der kritischen Infrastrukturen eine zentrale Rolle. Deshalb ist allen den hier genannten gesetzlichen Vorgaben eines gemeinsam: Sie fordern hohe Sicherheitsstandards besonders für kritische Infrastrukturen. Die konkrete Definition der kritischen Infrastrukturen kann sich von Land zu Land unterscheiden.

Die Definition kritischer Infrastrukturen nach Ländern:

Deutschland: Im ersten Teil der BSI-Kritisverordnung zur Umsetzung des IT-Sicherheitsgesetzes waren die den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung betroffen. Mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Österreich: Im Wesentlichen betrifft das NIS-Gesetz in Österreich die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktstrukturen, Gesundheitswesen, Trinkwasserversorgung und Digitale Infrastruktur.

Schweiz: Mit der nationalen SKI-Strategie 2018-2022 hat der Bundesrat folgende Bereiche als Bestandteil der kritischen Infrastrukturen festgelegt: Behörden, Energie, Entsorgung, Finanzen, Gesundheit, Information und Kommunikation, Nahrung, Öffentliche Sicherheit, Verkehr und einige Bereiche des privatwirtschaftlichen Sektors.

Die NIS-Richtlinie

Ein gemeinsamer Faktor für EU-Länder wie Deutschland und Österreich ist die in 2016 etablierte EU-Richtlinie zur Netzwerk-und Informationssicherheit (NIS-Richtlinie), die Mitgliedsstaaten dazu auffordert, Sicherheitsanforderungen und Meldepflichten für die Betreiber wesentlicher Dienste und für Anbieter digitaler Dienste wie z. B. Online-Suchmaschinen, Cloud-Computing-Diensten oder Online-Marktplätzen, einzuführen.

In Deutschland ist dies mit dem ITSIG (IT-Sicherheitsgesetz) und dem NIS-Richtlinien-Umsetzungsgesetz erfolgt. In Österreich wurde die NIS-Richtlinie durch das NIS-Gesetz und die NIS-Verordnung umgesetzt

In der Schweiz ist man zwar nicht an die EU-NIS-Richtlinie gebunden, aber natürlich hat auch hier hat die Cybersicherheit kritischer Infrastrukturen eine hohe Priorität. Deshalb hat man im Dezember 2020 das neue Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) verabschiedet. Unter dem Vorbehalt eines erfolgreichen Referendums wird das neue Gesetz wahrscheinlich im Lauf des Jahres 2021 in Kraft treten.

Welche Unternehmen sind betroffen?

Durch diese gesetzlichen Vorschriften sind viele Unternehmen vor die Aufgabe gestellt, ihre Sicherheitsstrategie zu überprüfen und die Einhaltung der Auflagen sicherzustellen und nachzuweisen. Denn die Umsetzung ist verpflichtend – eine Nichteinhaltung kann zu erheblichen Konsequenzen wie z. B. Geldstrafen führen. In der Regel wird zudem die Einhaltung der Vorgaben alle drei Jahre überprüft. Aber welche Unternehmen bzw. Sektoren sind wirklich betroffen? Ein Überblick:

Betroffene Unternehmen in Deutschland

IT-Sicherheitsgesetz (ITSIG): Die Sektoren für „Betreiber kritischer Infrastrukturen“ finden sich unter § 2 Abs. 10 BSI-Gesetz und wurden per Verordnung bereits konkretisiert:

• Energie (Elektrizität, Gas, Kraftstoff und Heizöl, Fernwärme)
• Informationstechnik und Telekommunikation (Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung)
• Transport und Verkehr
• Gesundheit
• Wasser (Trinkwasserversorgung und Abwasserbeseitigung)
• Ernährung (u.a. Lebensmittelversorgung)
• Finanz- und Versicherungswesen

NIS-Richtlinie: Die Sektoren für „Betreiber wesentlicher Dienste“ sind:

• Energie (Elektrizität, Erdöl, Erdgas)
• Verkehr (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen (einschließlich Krankenhäuser und Privatkliniken)
• Trinkwasserlieferung- und Versorgung
• Digitale Infrastruktur, z. B. Online-Händler, Suchmaschinen oder Cloud-Dienste bei Überschreitung bestimmter Schwellwerte (Kleinst- und Kleinunternehmen sind ausgeschlossen)

Die umfassendere NIS-Richtlinie bezieht im Unterschied zum IT-Sicherheitsgesetz (ITSIG) Unternehmen der digitalen Infrastruktur mit ein – das IT-Sicherheitsgesetz kannte die obligatorische Meldung nur bei den Betreibern kritischer Infrastrukturen.
Alle genannten Unternehmen sind dazu verpflichtet, Sicherheitsvorfälle zu melden und z. B. das Notfallmanagement um Business-Continuity-Maßnahmen zu erweitern.

Betroffene Unternehmen in Österreich

In Österreich sind all jene Unternehmen von der NIS-Richtlinie bzw. dem NIS-Gesetz betroffen, die als sogenannte Betreiber wesentlicher Dienste in den folgenden Sektoren identifiziert wurden:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung
• Digitale Infrastrukturen
• Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen oder Cloud-Computing-Dienste)

Die Ermittlung dieser Unternehmen erfolgt durch das Bundeskanzleramt (BKA).

Betroffene Unternehmen in der Schweiz

Das neue Informationssicherheitsgesetz (ISG) in der Schweiz wird viele Verwaltungen und Unternehmen betreffen. Der Fokus dieses Gesetzes, das im Dezember 2020 National- und der Ständerat verabschiedet wurde und wahrscheinlich im Laufe des Jahres 2022 in Kraft treten wird (vorbehaltlich eines erfolgreichen Referendums), liegt auf der Minimierung kritischer Infrastrukturrisiken.

Deshalb spielen die Betreiber von kritischen Infrastrukturen für das Funktionieren von Gesellschaft, Wirtschaft und Staat bei diesem Gesetz eine besondere Rolle. Neben Bundesbehörden, kantonalen Behörden sowie staatlichen Sicherheitsorganisationen sind folgende Wirtschaftssektoren betroffen:

• Energie
• Entsorgung
• Finanzen
• Gesundheitswesen
• Informations- und Kommunikationstechnik
• Nahrung
• Verkehr
• Einige Bereiche des privatwirtschaftlichen Sektors

TISAX und ISO 27001

Was ist die TISAX-Zertifizierung?

TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für die Informationssicherheit von Unternehmen und ermöglicht eine gemeinsame Anerkennung von Prüfergebnissen zwischen den Teilnehmern. TISAX hilft dabei, Aufwände zu vermeiden, wenn Sie sensible Informationen Ihrer Kunden verarbeiten oder die Informationssicherheit Ihrer eigenen Lieferanten bewerten wollen.

TISAX wurde nach dem branchenspezifischen Standard VDA-ISA, den der Verband der Automobilindustrie (VDA) definiert hat, erstellt. Der VDA hat TISAX an die Norm ISO 27001 angelehnt und so ein System zum Austausch normierter Prüfergebnisse als Ausprägung für die Automobilindustrie geschaffen.

Bei TISAX gibt es je nach Sensibilität der geteilten Daten und Informationen drei verschiedene Assessment-Level:

TISAX Level 1 – Self-Assessment ohne TISAX-Label
TISAX Level 2 – Aktenprüfung vor Ort und Remote
TISAX Level 3 – Intensive Vor-Ort Prüfung der Informationssicherheit und der
                           Managementprozesse.

Nur von der ENX Association, der Governance-Organisation, zugelassene TISAX-Prüfdienstleister können TISAX-Prüfungen durchführen.

Was ist die ISO 27001-Zertifizierung?

Die ISO 27001 ist die einzige auditierbare internationale Norm, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definiert. Die akkreditierte Zertifizierung nach ISO/IEC 27001 weist bestehenden und potenziellen Kunden gegenüber nach, dass ein Unternehmen Best-Practice-Prozesse zur Informationssicherheit definiert und umgesetzt hat.

TISAX vs ISO 27001

• Bei TISAX sind die Reifegrade klar definiert. Daher ist die Bewertung der Controls eher objektiv als bei der ISO 27001, denn deren Bewertung ist trotz einheitlicher Qualitätskriterien auch stark vom Auditor abhängig.
  
• TISAX-Teilnehmer dürfen über eine erfolgreiche Prüfung des Informationssicherheitsmanagementsystems (ISMS) nicht öffentlich sprechen. Daher verbietet sich eine aktive Darstellung bzw. Werbung z. B. auf der Unternehmenswebsite.
  
• Der Zugriff auf die TISAX-Prüfungsergebnisse ist nur nach Registrierung bei der ENX möglich. Fordern Geschäftspartner also einen Nachweis über ein zertifiziertes ISMS, kann dieser bei TISAX nur über eine ENX-Registrierung erbracht werden, die auch immer mit Kosten verbunden ist.
  
• Im Gegensatz dazu kann bei Ausschreibungen, die ein zertifiziertes ISMS erfordern, die ISO 27001-Zertifizierung direkt mit dem Angebot mitgeliefert und dann vom Empfänger einfach anhand der Zertifikatsnummer beim DAkkS-akkreditierten Prüfdienstleister validiert werden – ohne Anmeldung oder Kosten.
  
• TISAX hat einen wesentlich geringeren Bekanntheitsgrad als ISO 27001.

Meldepflichten erfüllen

Bereits jetzt müssen von Betreibern im länderspezifisch definierten Umfang Sicherheitsvorfälle gemeldet werden, damit Behörden Kenntnis von Störungen erhalten, Bedrohungslagen erkennen und beurteilen sowie entsprechende Maßnahmen ergreifen können. Da die Digitalisierung und damit die Vernetzung weiter fortschreiten, entstehen gegenseitige Abhängigkeiten – ein Grund mehr für das rasche Teilen von Schwachstellen oder Angriffsmustern, auch im Sinne der Frühwarnung.

In diesem Kontext und speziell in Verbindung mit kritischen Infrastrukturen sind auch Meldepflichten gesetzlich verankert, zu deren Einführung die EU-NIS-Richtlinie auffordert und die durch das NIS-Gesetz in Österreich oder das ITSIG und die BSI-Kritisverordnung in Deutschland umgesetzt werden. Auch in der Schweiz arbeitet man auf Basis der internationalen Erfahrungen und Normen an entsprechenden Regelungen für Meldepflichten.

Wie erfüllen Sie diese Verpflichtungen und die hohen Anforderungen an die Sicherheit Ihrer IT-Infrastruktur? Unbedingte Voraussetzung für die Erfüllung dieser und weiterer Verpflichtungen ist eine Sicherheitsstrategie, die Ihrem Unternehmen die Erkennung und schnelle Adressierung von Sicherheitslücken und Vorfällen in Ihren Systemen ermöglicht.

Wichtige Schritte in Richtung Compliance

Alle genannten Vorschriften zielen darauf ab, die Risiken besonders in kritischen Infrastrukturen zu senken und die Informationssicherheit sowie die Cybersecurity zu erhöhen. Deshalb stehen für die betroffenen Unternehmen vor allem die folgenden Themen im Blickpunkt:

• Risikomanagement/Digital Risk Management
• Klassifizierung von Informationen/ Data Governance
• Informatiksicherheit/IT Security
• Personelle Maßnahmen/Organisation der Informationssicherheit
• Physischer Schutz (baulich, organisatorisch, informationstechnisch)
• Personensicherheitsüberprüfung
• Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner)
• Betrieb kritischer Infrastrukturen (Betriebliche Sicherheitskonzepte)
• Identitätsverwaltungs-Systeme (Identity and Access Management; IAM)

IAM im Fokus

Welcher Benutzer hat welche Zugriffsrechte in Ihrem System? Hand aufs Herz: Können Sie diese Frage wirklich bis ins Detail beantworten? Oder wissen Sie nur, wer welche Rechte haben sollte? Genau hier könnte sich eine Schwachstelle in Ihrem Unternehmen auftun. Denn wenn Cyberkriminellen das Eindringen in ein Benutzerkonto gelingt, können diese auf alles zugreifen, für das dieser Benutzer über Zugriffsrechte verfügt. Deshalb ist es entscheidend, dass alle Ihre Benutzer nur die Berechtigungen haben, die für ihre Arbeit tatsächlich erforderlich sind.

Die Basis für die Compliance Ihres Unternehmens

Wenn Sie auf der Benutzerebene die Sicherheit nicht gewährleisten können, ist die Sicherheit Ihres gesamten Systems und damit Ihres Unternehmens gefährdet. Angemessene Berechtigungen, Freigaben und Zugriffsrechte sind auch deshalb so wichtig, weil sie die Basis für die Compliance Ihres Unternehmens darstellen – und damit für die Einhaltung der vorgenannten und weiterer gesetzlicher Vorgaben.

Dabei geht es um ALLE Benutzer: Mitarbeiter, Auftragnehmer, Lieferanten und sogar Software-Bots, die Ihr Unternehmen möglicherweise einsetzt. Und um alle Anwendungen und Dateien mit sensiblen Daten, ob in der Cloud oder On Premise – da kommt einiges zusammen. Wie bewältigen Sie diese Herausforderung und stellen gleichzeitig Wirtschaftsprüfer und Auditoren zufrieden, die unter anderem genau diese Punkte prüfen wollen und müssen?  

Effektives Identity und Access Management

Automatisierung ist die Antwort – mit der SailPoint IAM-Plattform, die Zugriffsberechtigungen intelligent kontrolliert und steuert, über alle Ihre Benutzer, Systeme, Anwendungen und Daten hinweg. Revisionssicher, schnell und komfortabel und in kurzer Zeit in Ihrem Unternehmen umsetzbar. Denn mit unserer Cloud-Lösung müssen Sie nicht von vorne anfangen: Das Bestehende wird einbezogen und die für Ihr Unternehmen wichtigen Zugriffskriterien und Ebenen können Sie individuell definieren. Die Plattform setzt diese dann automatisch für jeden bestehenden und neuen Benutzer um – das bedeutet auch mehr Schnelligkeit und Sicherheit beim Onboarding oder Ausscheiden von Mitarbeitern.