KRITIS-Meldepflicht : Habe ich etwas zu melden? : Erläuterungen zur Meldepflicht nach § 8b Abs. 4 BSIG

Von Dr. Jan Sanders, Dr. Stefanie Fischer-Dieskau und Isabel Münch

Durch das IT-Sicherheitsgesetz „soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland“ (BT-Drs. 18/4096, 1) erreicht werden. Hierfür sind neben gut geschützten IT-Systemen eine bessere Lageübersicht und ein rascher Austausch von Informationen zu IT-Bedrohungen und -Gefahren erforderlich. Über Ersteres müssen die Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) gemäß § 8a Abs. 3 BSI-Gesetz (BSIG) geeignete Nachweise vorlegen. Für das Letztere sieht § 8b BSIG unter anderem eine Meldepflicht für die KRITIS-Betreiber vor, die sich in ähnlicher Form auch in anderen Gesetzen, zum Beispiel § 109 Telekommunikationsgesetz, wiederfindet.

Eine besondere Rolle kommt der Meldepflicht zu, wenn es darum geht, IT-Störungen zu verhindern oder ihre Auswirkungen abzumildern. Die rechtzeitige Kenntnis über einen Vorfall bei einem betroffenen KRITIS-Betreiber kann ein wichtiger Faktor sein, um einen ähnlichen Vorfall derselben Art bei anderen zu verhindern oder seine Auswirkungen abmildern zu können. Es ist die gesetzliche Aufgabe des Warn- und Meldewesens des BSI, Informationen aufzunehmen, aufzuarbeiten und das Ergebnis an die angeschlossenen Institutionen zu geben, zum Beispiel in Form von Warnungen zu bestimmten Schwachstellen oder Informationen zu geeigneten Maßnahmen zur Absicherung von IT-Systemen. Die nach dem BSIG zu Meldungen Verpflichteten sind also nicht nur Lieferanten von Cyber-Sicherheitsinformationen, sondern auch Empfänger.

Soweit die Idealvorstellung … Es wird aber oft der Fall sein, dass nicht genügend Informationen zur Ursache sofort bekannt oder verfügbar sind, um zu entscheiden, ob ein Vorfall auch Auswirkungen auf andere KRITIS-Betreiber oder weitere potenziell Betroffene haben könnte und welcher Kreis daher welche Detailinformationen über den Vorfall benötigt. Eine Meldung hilft aber grundsätzlich immer auf die ein oder andere Weise, die IT-Sicherheit anderer zu stärken – sei es durch die zeitnahe Aufbereitung von Warnungen oder die Ausarbeitung von Sicherheitsempfehlungen, um entsprechende Vorfälle in der Zukunft zu verhindern („Lessons Learned“). Die Summe aller Meldungen hilft außerdem, ein Lagebild zu erstellen und die Lagebeurteilung insgesamt zu verbessern. Auf dieser Grundlage lässt sich ein Handlungsbedarf gezielter ermitteln und entsprechend agieren.

Die angestrebte Verbesserung der IT-Sicherheit Kritischer Infrastrukturen kann nur durch eine Zusammenarbeit zwischen dem BSI und den KRITIS-Betreibern sowie den Betreibern untereinander erreicht werden. Dieser Artikel soll helfen, die Frage „Was soll ich melden?“ von einer abstrakten Ebene, wie sie im BSIG formuliert ist, auf eine etwas konkretere Ebene, die näher am tatsächlichen Geschehen ist, zu verlagern.

In diesem Artikel werden die Rechtsbegriffe des BSIG heruntergebrochen auf Begriffe und Konzepte, die im Alltag der IT Sicherheitsorganisation eines KRITIS-Betreibers eine Rolle spielen. Mit einem Blick auf die Vielfalt der KRITIS-Branchen, der Anlagenkategorien der BSI-KRITIS-Verordnung (KritisV) und nicht zuletzt der Betreiber beschränkt sich dieser Artikel auf eine Annäherung. Die Autoren wollen eine Grundlage für die Diskussion bieten, damit sie, die sie vertretenden Branchen und das BSI gemeinsam zu einer sinnvollen und gewinnbringenden Umsetzung der Meldepflicht nach BSIG finden.

Der Gesetzestext

Die Meldepflicht ist in § 8b BSIG geregelt. Zur Frage „Was soll ich melden?“ sagt der Paragraf folgendes:

(4) Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

1. Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,

2. erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können. […]

Absatz 4 geht noch weiter, aber für die Frage „Was soll ich melden?“, sind die obenstehenden Punkte 1. und 2. wesentlich. Um das Ganze ein wenig handhabbarer zu machen, lassen Sie uns die langen Ausdrücke

• „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ durch IT-Störung und
• „Ausfall oder […] erhebliche[…] Beeinträchtigung der Funktionsfähigkeit der […] betriebenen Kritischen Infrastrukturen“ durch Einschränkung ersetzen.

Abs. 4 Nr. 1 sagt damit, dass eine IT-Störung, die eine Einschränkung verursacht, meldepflichtig ist. Abs. 4 Nr. 2 drückt aus, dass eine erhebliche IT-Störung, die eine Einschränkung hätte verursachen können, meldepflichtig ist. Beide Punkte haben jeweils zwei Teile, die den jeweiligen Tatbestand beschreiben: die Ursache, also die IT-Störung, und die Auswirkung, also die Einschränkung.

Die Ursache

Was ist eine IT-Störung?

Zur IT-Störung findet sich in der Begründung des IT-Sicherheitsgesetzes eine Erläuterung. Diese lautet:

„Eine [IT-]Störung im Sinne des BSI-Gesetzes liegt daher vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken.“ (siehe BT-Drs. 18/4096, 28)

Das BSIG schränkt den Begriff der IT-Störung zunächst einmal nicht ein. Sicherlich hätte man in einem IT-Sicherheitsgesetz erwarten können, dass es nur um klassische IT-Sicherheitsvorfälle wie Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik gehen soll. Warum also gehören Fehlfunktionen auch zu den meldepflichtigen Ereignissen? Der Grund liegt darin, dass eine umfassende Lagebeurteilung der IT-Sicherheit mit Blick auf die Verfügbarkeit der Kritischen Infrastrukturen erfolgt (§ 8b Abs. 2 Nr. 2 BSIG).

Beispiele für IT-Störungen, die keine IT-Sicherheitsvorfälle sind, können sein:

• ein Bagger, der ein Kabel durchtrennt
• die Kühlung eines Rechenzentrums, die versagt
• ein falsch konfiguriertes System
• ein fehlerhaftes Update oder ein fehlerhafter Patch, der eingespielt wird

Entsprechend ist bereits der Versuch, auf eingesetzte Technik einzuwirken, damit sie nicht bestimmungsgemäß funktioniert, eine IT Störung. In diesem Fall muss dem IT-System noch nicht einmal etwas passiert sein. Ob ein erfolgloser Versuch, ein IT-System anzugreifen, zu einer tatsächlichen Einschränkung hätte führen können, mag eine akademische Frage sein. Relevant ist dies aber für den Punkt 2. der Meldepflicht, wo es genau darum geht.

Wann ist eine IT-Störung erheblich?

Abs. 4 Nr. 1 der Meldepflicht spricht von IT-Störungen ganz allgemein und ohne weitere Einschränkungen. Abs. 4 Nr. 2 hingegen sagt, dass eine IT-Störung erheblich sein muss, um den Tatbestand der Meldepflicht zu erfüllen. Doch wo genau liegt die Grenze zwischen erheblicher und nicht-erheblicher IT-Störung?

Lässt sich diese Frage überhaupt im Voraus abschließend beantworten? Die IT-Sicherheitslage verändert sich ständig, die KRITIS Branchen und die Betreiber der Kritischen Infrastrukturen sind sehr unterschiedlich. Wie lässt sich also eine klare Linie finden, welche die Welt der IT-Störungen in zwei klar getrennte Lager teilt? Gäbe es ein einfaches Schwarz-Weiß, hätte der Gesetzgeber keine auslegungsbedürftigen Rechtsbegriffe verwenden müssen. Eine eindeutige, umfassend geltende Antwort ist daher nicht möglich.

Stattdessen ist es empfehlenswert. dass die Verantwortlichen in KRITIS-Unternehmen sich jeden Fall anschauen und Einzelfallentscheidungen treffen. Die Betreiber und ihre Mitarbeiter sind diejenigen, die mit den genauen Umständen der auftauchenden IT-Störungen am besten vertraut sind. Die folgende Liste an Beispielkriterien soll daher nur als Orientierungshilfe dienen, um einen ersten Maßstab anlegen zu können. Die Beispielkriterien berücksichtigen dabei die IT-seitigen Auswirkungen der Störung, nicht jedoch ihren Einfluss auf die Kritische Dienstleistung. Diese ist erst in einem zweiten Schritt zu betrachten.

Eine erhebliche IT-Störung liegt insbesondere vor, wenn:

• eine Nicht-Behandlung zu immer weiterführenden negativen Auswirkungen führen würde (z. B. wenn der Ausfall einer Anlagensteuerung zu immer umfangreicheren Schäden oder der Zerstörung einer Anlage führen würde)
• zusätzliche Aufwände und Mittel eingesetzt oder eingeplant werden, die über die Aufwände und Mittel des Regelbetriebs oder bereits geplanter Arbeiten hinausgehen (z. B. zusätzliche Mitarbeiter, Überstunden, Einsatz von Ersatzkapazitäten, zusätzliche Geld- oder Sachmittel)
• ihre Behandlung durch speziell vorgehaltene Incident-Responder oder Störfallteams durchgeführt werden muss
• wichtige IT-Systeme oder Komponenten zur Vermeidung weiterer Auswirkungen abgeschaltet oder isoliert werden
• für den Bewältigungszeitraum Betriebsprozesse geändert werden
• sie einen hohen finanziellen Schaden verursacht
• die Vermutung naheliegt, dass das Unternehmen Ziel eines neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffs oder Angriffsversuchs ist
• besondere Berichtspflichten gegenüber der Unternehmensleitung für solche IT-Störungen bestehen

Vor allem der letzte Punkt ist immer ein guter Indikator dafür, dass die IT-Störung tatsächlich erheblich ist.

Ob eine erhebliche IT-Störung vorliegt oder vorgelegen hat, kann sich auch im Laufe der Störungsbehandlung zeigen: Ein Indiz hierfür könnte sein, dass zur Behebung bedeutende zusätzliche Ressourcen notwendig waren, die zum Beispiel in Form von Überstunden angefallen sind. Auch wenn erst im Nachhinein festgestellt wurde, dass die IT-Störung erheblich im Sinne des BSIG war, ist sie trotzdem meldepflichtig. Erhebliche IT-Störungen sind unverzüglich nach Bekanntwerden, im Fall einer nachträglichen Feststellung der Erheblichkeit eben dann, zu melden.

Die Auswirkung

Was ist ein (möglicher) Ausfall oder eine erhebliche Beeinträchtigung? Zur leichteren Handhabbarkeit wurden weiter oben der Ausfall und die erhebliche Beeinträchtigung als Einschränkung zusammengefasst. Zur Bestimmung der Meldepflicht einer Störung sind sie jedoch wieder getrennt voneinander zu betrachten.

• Ausfall: Ein Ausfall liegt vor, wenn die Funktionsfähigkeit einer Kritischen Infrastruktur nicht mehr gegeben ist, um ihren geplanten oder erwarteten Beitrag zur jeweiligen kritischen Dienstleistung zu erbringen. Eine geplante Betriebsunterbrechung ist daher nicht als Ausfall zu bewerten.
• Erhebliche Beeinträchtigung: Eine erhebliche Beeinträchtigung liegt insbesondere vor, wenn eine Kritische Infrastruktur nicht mehr in der Lage ist, ihre Versorgungsleistung wie geplant oder wie erwartet zu erbringen, zum Beispiel weil ihre Funktionsfähigkeit nur noch in Teilen gegeben und die daraus entstandene Minderleistung erheblich ist. Wann eine Minderleistung erheblich ist, muss im Verhältnis zur Betroffenheit der Versorgten gesehen werden.

Steht zum Beispiel kein Trinkwasser mehr zur Verfügung, sind die Versorgten unmittelbar betroffen. Ist hingegen eine Produktionsanlage für verschreibungspflichtige Arzneimittel beeinträchtigt, dann bekommen viele Versorgte dies unter Umständen gar nicht mit. Der Weg von der Arzneimittelproduktion zum Verbraucher ist lang und die Lagerbestände auf den verschiedenen Stationen dieses Weges lassen die Verbraucher in der Regel keine unmittelbaren Auswirkungen spüren. Unternehmen, die Teil der Lieferkette sind, spüren die Auswirkungen unter Umständen aber unmittelbar.

Beispielsweise kann von einer erheblichen Beeinträchtigung ausgegangen werden, wenn:

• eine große Anzahl von Kunden betroffen ist
• eine große Anzahl von Geschäftsprozessen betroffen ist
• die Auswirkungen die öffentliche Aufmerksamkeit auf sich ziehen

Möglicher Ausfall oder mögliche Beeinträchtigung einer Kritischen Infrastruktur

Abs. 4 Nr. 2. der Meldepflicht setzt voraus, dass eine erhebliche IT-Störung zu einem Ausfall oder einer Beeinträchtigung der betriebenen Kritischen Infrastrukturen hätte führen können – in diesem Fall wäre die erhebliche IT-Störung auch meldepflichtig. Über das, was vielleicht, unter anderen Umständen, eventuell hätte passieren können, kann man trefflich diskutieren.

Dies mag sicherlich für den einen oder anderen eine erfüllende intellektuelle Beschäftigung sein. Wie schon bei der Frage „Wann ist eine IT-Störung erheblich?“ können auch hier keine harten Kriterien vorgegeben werden. Stattdessen ist es auch hier ratsam, dass KRITIS-Betreiber und ihre Mitarbeiter sich von Fall zu Fall mit der Frage befassen. Auch wenn eine Checkliste zur Bewertung der Erheblichkeit wie eine einfache Lösung erscheinen mag, sollte jede IT-Störung mit gesundem Menschenverstand betrachtet sowie intern diskutiert und im Zweifelsfall lieber zu früh als zu spät gemeldet werden. Das BSI nimmt auch Meldungen über „kleinere“ Sicherheitsvorfälle gerne entgegen.

Eine Orientierungshilfe in Form einer Liste von Beispielen von Einschränkungen Kritischer Infrastrukturen soll hier den KRITIS Betreibern und ihren Mitarbeitern trotzdem mitgegeben werden:

• Es treten erhebliche IT-Störungen während einer geplanten Betriebsunterbrechung auf, die sich auf die Kritische Infrastruktur negativ auswirken, die aber nicht die wie geplant zu erbringende Versorgungsleistung verringern.
• Es treten erhebliche IT-Störungen während einer geplanten Betriebsunterbrechung auf, die dazu führen, dass die Betriebsunterbrechung länger als geplant andauert, aber nicht zwingend zu einer Verringerung der Versorgungsleistung führt.
• Es treten erhebliche IT-Störungen auf, die nicht alle, aber mehrere Schutzmechanismen, die vor IT-Störungen oder Einschränkungen schützen sollen, überwinden.
• Es treten erhebliche IT-Störungen auf, die zu einem Ausfall oder einer erheblichen Beeinträchtigung von Teilen einer Kritischen Infrastruktur führen, aber die Versorgungsleistung über ihre Dauer nicht tatsächlich mindern. Dies könnte der Fall sein, wenn ein Teil einer Produktions- oder Logistikkette innerhalb der Kritischen Infrastruktur ausfällt, die Versorgung aber zumindest zeitweilig durch Lagerbestände aufrechterhalten werden kann.
• Bei fortgeschrittenen Angreifern, insbesondere bei Verwendung von neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffsverfahren, muss davon ausgegangen werden, dass eine Einwirkung auf die Kritische Infrastruktur möglich ist, sobald sich ein Angreifer dazu entschließt.

Soweit zum Wortlaut des Gesetzes …

Sicherlich sind Ihnen beim Lesen sofort echte Fälle aus Ihrem IT-Betrieb eingefallen, wo Sie sagen: „So etwas soll ich melden?“. Es fallen Ihnen sicherlich auch ohne Mühe viele plausible Beispiele ein, die nach den oben ausgeführten Kriterien meldepflichtig wären, aber der Sachverhalt an sich uninteressant bis unsinnig ist.

Deswegen ist es wichtig, bei allen Vorteilen, die harte Kriterien bieten können, das Ziel und den Sinn des IT-Sicherheitsgesetzes nicht aus den Augen zu verlieren. Es gibt IT-Störungen, die so bemerkenswert sind, dass es bei ihnen kein langes Überlegen gibt – diese sind offensichtlich meldepflichtig. Andere IT-Störungen, am anderen Ende des Spektrums, wie zum Beispiel ein Standard-Virus, der im AV-Scanner hängen bleibt, sind ebenso offensichtlich nicht meldepflichtig.

Es gibt aber auch viele Fälle, die in der Mitte der beiden Pole liegen. Diese Fälle werfen die meisten Fragen auf und in diesen Fällen werden sich sicherlich immer sowohl Argumente dafür wie auch dagegen finden, ob die Störung meldepflichtig ist. Aus praktischer Erfahrung und pragmatischer Sicht bieten nachfolgende Fragen eine Hilfestellung, ob die Störung zu melden ist:

• Hätte es mir geholfen, wenn ich Warnungen über diese Art von Vorfall von einem anderen Betreiber bekommen hätte?
• Ist die (mögliche) Einschränkung relevant für die Versorgungslage in Deutschland oder in der Region?
• Ist die IT-Störung interessant genug, dass ich mich mit anderen darüber unterhalten würde?
• Sehe ich vielleicht nur ein Puzzleteil und das BSI könnte – zusammen mit den Meldungen anderer Betreiber – ein größeres Bild darin erkennen?

In Zweifelsfällen suchen Sie den Kontakt zum BSI, über das KRITIS-Büro, die UP-KRITIS-Geschäftsstelle, Ihren Sektorbetreuer oder das Nationale IT-Lagezentrum. Das BSI wird gerne mit Ihnen besprechen, ob und welchen Mehrwert Ihre Meldung für den Lageüberblick und die anderen Betreiber Kritischer Infrastrukturen entfalten kann.

Wenn Sie planen, für Ihr Unternehmen oder zusammen mit anderen Betreibern Ihrer Branche Leitlinien oder ein Regelwerk zur Informationssicherheit oder zum Umgang mit Cyber-Sicherheitsvorfällen zu entwerfen, steht Ihnen das BSI gern mit Rat und Tat zu Seite und wird sich gern bei anderen KRITIS-Betreibern um Mitstreiter für Ihr Projekt bemühen.

Zu guter Letzt

Das Warn- und Meldewesen des BSI lebt vom Mitmachen. Auch Betreiber in den KRITIS-Sektoren, deren Anlagen keine Kritischen Infrastrukturen im Sinne der BSI-KritisV sind, können sich über den UP KRITIS einbringen und IT-Störungen melden sowie Warnungen erhalten.

Und Institutionen, die gar nicht zu den Betreibern Kritischer Infrastrukturen gehören, können sich über die Allianz für Cyber-Sicherheit einbringen. Die Möglichkeit zu (freiwilligen) Meldungen gibt es auch hier.

Melden Sie gern mehr, einfach auf freiwilliger Basis – alles was Sie für meldewürdig, wenn auch nicht meldepflichtig halten. Je früher und zuverlässiger das BSI eine sich anbahnende IT-Sicherheitslage erkennen kann, desto früher kann das BSI Sie warnen oder informieren.