Die Betreiber kritischer Infrastrukturen haben dem BSI zukünftig eine Kontaktstelle für die Kommunikationsstrukturen zu benennen. Die Betreiber sollen sicherstellen, dass sie jederzeit erreichbar sind. Über diese Kontaktstelle sollen sie zukünftig erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen führen können oder bereits geführt haben, an das BSI zu melden.
Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. Die Nennung des Betreibers soll dann erforderlich sein, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Infrastruktur geführt hat; was wiederum zu erheblichen Image- und Vertrauensverlusten des zur Meldung verpflichteten Unternehmens in der öffentlichen Wahrnehmung führen kann.
Die Risikoanalyse darf sich zudem nicht auf die einmalige Feststellung eines Ist-Zustands beschränken. So muss auch der laufende Betrieb überwacht werden, da sich das Gefahrenpotential und die damit verbundenen Anforderungen täglich ändern können. Es ist daher in der Wirtschaft ein grundsätzliches Umdenken zu fordern. Denn die Verpflichtung zur ordnungsgemäßen Geschäftsführung beinhaltet eben auch die Umsetzung entsprechender IT-Sicherheitsmaßnahmen, welche viel zu häufig als reiner Kostenverursacher gesehen und ihre Erforderlichkeit daher falsch beurteilt werden.
Verstöße und deren Folgen
Wer die erforderlichen Abwehr- und Sicherheitssysteme nicht aufbaut und Angriffe nicht meldet, dem drohen Bußgelder in Höhe von bis zu 100.000 Euro. In Anbetracht der tatsächlich drohenden Schäden ein mehr als überschaubarer Betrag. Allerdings soll das Bußgeld den wirtschaftlichen Vorteil, den ein Unternehmen aus der Ordnungswidrigkeit zieht, nach dem Ordnungswidrigkeitsrecht übersteigen. Wirtschaftliche Vorteile entstehen auch, wenn Schutzbestimmungen, wie das IT-Sicherheitsgesetz, der Geschäftsleitung schadensmindernde Investitionen aufgeben, die diese unterlässt. Das Unternehmen gerade durch die Einsparung von Kosten einen Gewinn generieren können, der wiederum den Wert des Unternehmens steigern kann, könnte dazu führen, dass die zu verhängenden Bußgelder auch weit über die vom Gesetzgeber vorgesehene Grenze von 100.000 Euro steigen.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Dem Schutz von IT-relevanten Informationen dient auch eine Vielzahl von Strafvorschriften. Werden Daten in einem Unternehmen aufgrund mangelhafter IT-Sicherheit oder –Überwachung manipuliert oder gar Computer sabotiert, kann dies auch zu Freiheitsstrafen oder Geldstrafe führen.
Das Recht der IT-Sicherheit fordert und verpflichtet das Management zu einer ordnungsgemäßen Geschäftsführung. Dazu gehört auch, die erforderliche Informationstechnik einzusetzen und vorzuhalten. Diese Verpflichtung zur sicheren Organisation des Unternehmens umfasst auch die Verpflichtung, IT relevante Risiken vom Unternehmen durch Erlass entsprechender IT-Richtlinien abzuwenden und die Überwachung durch einen IT-Sicherheitsbeauftragten zu gewährleisten. Andernfalls ist die Geschäftsführung bei Schäden, die auf die fehlende Überwachung zurückzuführen sind, auch gravierenden zivilrechtlichen Schadensersatzansprüchen ausgesetzt. So könnten Aktionäre nach einer (erfolgreichen) Cyberattacke gegen das Management klagen, wenn der Erfolg der Attacke auf die fehlende oder nicht ausreichende Überwachung zurückzuführen ist.