Ersteinmal danke fĂĽr den Artikel den ich sehr informativ finde!
Trotzdem sind mir ein paar Dinge unklar:
Gibt es einen Grund warum "Verkehr" als Them fehlt? Wenn sich also jemand bei der Bahn reinhackt und an den Weichen rumspielt, dann wäre das nicht meldepflichtig?
Bisher anscheinend nicht. Nach § 10 Absatz 1 Satz 1 BSI-Gesetz würde das dazugehören (es sind die "Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit Wasser, Ernährung sowie Finanz- und Versicherungswesen"). Aber: "Die Bewertung einer Dienstleistung als kritisch setzt voraus, dass diese von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch einen Ausfall oder eine Beeinträchtigung der Dienstleistungserbringung nachhaltig wirkende Versorgungsengpässe oder erhebliche Gefährdungen für die öffentliche Sicherheit eintreten würden."
Das ist wohl nicht kritisch genug - siehe auch immer wieder vorkommende Anschläge auf Bahnanlagen, die meistens bestenfalls geringe regionale Störungen hervorrufen. Anscheinend gibt es genug Alternativen - und die Auswirkungen sind nicht dramatisch genug.
Aber vielleicht geht es auch später weiter: "In einem ersten Schritt wird für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind." Dann könnten also Verkehrsunternehmen demnächst noch dazukommen.
Neben der Frage wer meldepflichtig ist, finde ich die Frage was für Vorfalle eigentlich gemeldet werden müssen viel unklarer/spannender. WIe ist das geregelt? Muss der Verlust eines Notebooks gemeldet werden? Der Einbruch eines Hackers ins Netz? Wenn Daten unberechtigt kopiert werden? Oder erst wenn es zu Manipulationen kommt, die die Tätigkeit des Unternehmens gefährden?
Das steht in § 8b Absatz 4 Satz 1 des BSI-Gesetzes: " Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen
1. führen können oder
2. gefĂĽhrt haben,
ĂĽber die Kontaktstelle unverzĂĽglich an das Bundesamt zu melden."
Und noch eine interessante Frage:
Was macht das BSI mit dieser Meldung?
Zählen und am Jahresende ne Statistik rausgeben?
Ja, auch. Aber auch auswerten und korrelieren, um zum Beispiel systematische Angriffe auf Branchen zu erkennen und abzuwehren ("Das Bundesamt hat zur Wahrnehmung dieser Aufgabe [...] die für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und auszuwerten" und "unverzüglich [...] die Betreiber Kritischer Infrastrukturen über sie betreffende Informationen [...] zu unterrichten." § 8b Absatz 2).
Weiterleiten ans zuständige Ministerium?
Zum Beispiel, aber auch eine anonymisierte Veröffentlichung ist denkbar.
Oder erfolgt hier eine richtige Reaktion/Ermittlung?
Das kann erfolgen, zum Beispiel auf folgender Basis: "Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen." § 8b Absatz 6.
Das kann es natĂĽrlich nur, wenn es davon weiĂź...
> Dieses rechnet mit maximal sieben Sicherheitsvorfällen pro Jahr und einem
> Kostenaufwand von 660 Euro fĂĽr jede Schadensmeldung.660 Euro? Dann machen sie wohl nicht sehr viel mehr als die Meldung auf formale Korrektheit zu prĂĽfen und weiterzuleiten.
Das sind die Kosten für die Wirtschaft, die durch die Verordnung entstehen - es steht unter "Erfüllungsaufwand für die Wirtschaft". Das ist Pflicht beim Verabschieden von Gesetzen und Verordnungen, die Kosten abzuschätzen, die der Wirtschaft entstehen, damit man rechtzeitig einschreiten kann, wenn irgendwas unzumutbar teuer wird. Kosten für "Bürgerinnen und Bürger" werden auch abgeschätzt... hier sind es keine.
Und sieben Sicherheitsvorfälle pro Jahr?
Das ist eine Schätzung, die im Zuge der Entstehung der Verordnung abgegeben wurde. Natürlich unter Beteiligung der Branchenverbände.
Ist das pro meldepflichtigem Unternehmen gedacht oder insgesamt???
Das wäre pro "Anlage und Jahr" ("Bei 660 Euro Aufwand pro Meldung und maximal sieben zu meldenden IT-Sicherheitsvorfällen pro Anlage und Jahr ergibt sich für die Erfüllung der Meldepflicht ein jährlicher Erfüllungsaufwand von insgesamt 3 Millionen Euro."). Wo der Durchschnitt liegen würde, steht da leider nicht...
Es ist ja auch erstmal ein Entwurf... "Referentenentwurf des Bundesministeriums des Innern", "Bearbeitungsstand: 13.01.2016 18:45 Uhr". Keine Ahnung, wie die finale Fassung aussehen wird, aber ich glaube nicht, dass sich noch viel ändert. Die Branchen wurden ja auch intensiv an der Ausarbeitung beteiligt: "Die Methodik beruht auf drei systematischen Verfahrensschritten, die jeweils unter umfassender Beteiligung von Experten und Vertretern der betroffenen Ressorts sowie der einzelnen Branchen in den Arbeitskreisen des UP KRITIS und weiteren Kreisen umgesetzt wurden. Die Beteiligung der betroffenen Branchen bereits im Vorfeld des formalen Anhörungsverfahrens folgt dem kooperativen Ansatz des IT-Sicherheitsgesetzes und hat sich aufgrund der Komplexität der zu treffenden Festlegungen als zweckmäßig bewährt."
Alle Zitate aus dem BSI-Gesetz (https://www.gesetze-im-internet.de/bundesrecht/bsig_2009/gesamt.pdf) und der Verordnung (Link im Artikel).
fr.osch
Edit: Die angenommene Zahl der Meldungen bezieht sich auf Anlagen und nicht auf Unternehmen.
Das Posting wurde vom Benutzer editiert (08.02.2016 20:50).