Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

Bei IT-Sicherheitsvorfällen bestehen vielfältige Meldepflichten für Unternehmen. Spezielle Tools unterstützen dabei, die Vorgaben einzuhalten.

"In vielen Ländern besteht für Unternehmen keine umfängliche Meldepflicht bei IT-Angriffen. So bleiben viele Vorfälle in der Öffentlichkeit unbekannt", erklärte Patrick Sweeney, Executive Director, Dell Security, anlässlich der Veröffentlichung des 2015 Dell Security Annual Threat Report.

Für Unternehmen in Deutschland zumindest können zahlreiche Informationspflichten bestehen, wenn es zu einem kritischen IT-Sicherheitsereignis oder einer Datenschutz-Panne kommt. Mit dem IT-Sicherheitsgesetz sind sogar noch weitere Meldepflichten hinzugekommen:

  • Die Meldepflicht bei erheblichen IT-Sicherheitsvorfällen nach dem IT-Sicherheitsgesetz betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, so eine Erläuterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

  • Eine Meldepflicht bei erheblichen IT-Sicherheitsvorfällen für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.

  • Informationspflichten nach IT-Sicherheitsgesetz bestehen aber nicht nur in Richtung BSI oder bei Telekommunikationsunternehmen an die Bundesnetzagentur. Telekommunikationsunternehmen sind zudem verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird. Bei der Vielzahl an Kundenanschlüssen, die Telekommunikationsunternehmen betreiben, und der Häufigkeit der Cyber-Attacken kann es oft der Fall sein, dass Anwenderunternehmen gewarnt werden müssen.

Schon hier wird deutlich, dass das Management der Meldepflichten und der "Incident Reports" komplex werden kann, wenn betroffene Unternehmen sicherstellen wollen, dass sie alle entsprechenden Vorgaben wirklich einhalten.

Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den vergangenen Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den vergangenen Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Foto: eco

Verbände kritisieren Ausgestaltung der Meldepflichten

Der zu erwartende Aufwand durch Melde- und Informationspflichten ist einer der Gründe, warum mehrere IT-Verbände an der Ausgestaltung des IT-Sicherheitsgesetzes Kritik geübt haben und dies auch weiterhin tun.

Eine Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, Bitkom und weiteren Branchenverbänden ergab 2014, dass allein aus der Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr für die deutsche Wirtschaft entstehen können.

Die Verfahrensweise bei den Meldepflichten von IT-Sicherheitsvorfällen an das BSI sowie die reaktiven Befugnisse des BSI müssten rechtlich und praktisch ausgestaltet werden, so TeleTrusT - Bundesverband IT-Sicherheit. Die diesbezügliche Rechtsunsicherheit bei den Unternehmen müsse beseitigt werden.

Notfallplanung und Compliance zählen zu den IT-Sicherheits-Themen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Notfallplanung und Compliance zählen zu den IT-Sicherheits-Themen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Foto: eco

Grundsätzlich infrage stellt eco - Verband der Internetwirtschaft den Sinn und Zweck von Meldepflichten. "Aus unserer Sicht stellen diese Meldepflichten die größte wirtschaftliche Belastung dar, da sie aufwendige Prozesse und Einrichtungen voraussetzen, die keinen direkten Bezug zur Verbesserung der IT-Sicherheit haben und damit auch keinen erkennbaren Mehrwert für die Unternehmen und ihre Kunden", erklärt eco-Vorstand Politik & Recht Oliver Süme.