Meldepflichten bei einem Security Incident
Meldepflichten bei einem Security Incident
Sicherheitsvorfälle müssen gemeldet werden
Security Incidents, zu deutsch: Sicherheitsvorfälle, bringen eine Menge Arbeit mit sich. Klassisch denkt man natürlich erstmal an den gesamten Prozess der Bereinigung und Beseitigung des Vorfalls auf technischer Ebene. Zum gesamten Incident Response Management gehören allerdings auch nicht-technische Aspekte wie dem Krisenmanagement und der Meldeplicht. Letzterer wollen wir uns an dieser Stelle mal etwas genauer widmen.
Das Wichtigste auf einen Blick
Was muss gemeldet werden?
- Erhebliche IT-Störungen
- Verletzungen des Schutzes personenbezogener Daten
Wer muss melden?
- KRITIS-Betreiber
- Anbieter von digitalen Diensten
Wem muss gemeldet werden?
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Bundesnetzagentur (BNetzA) bei Telekommunikationsunternehmen
- Bundesbeauftragten
- Aufsichtsbehörde
Wann muss die Meldung erfolgen?
- Innerhalb von 24-72 Stunden
Wie muss gemeldet werden?
- Über eine registrierte Kontaktstelle an das BSI
- Meldevorlage
Meldepflicht?
In der Tat gibt es von verschiedenen Stellen gesetzlich vorgeschriebene Meldepflichten bei einem Sicherheitsvorfall. Und diese können auf den ersten Blick ganz schön verwirrend sein – wer muss wann, was wo und wie melden? Grundsätzlich gilt: Außergewöhnliche Störungen können immer freiwillig über die Meldestelle der Allianz für Cybersicherheit gemeldet werden. Diese Form der Meldungen dienen als Grundlage für das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Erstellung von Warnungen und für das statistische Gesamtlagebild. Ein kurzer Rat am Rande: Da das Stresslevel während eines Security Incidents grundsätzlich sehr hoch ist, sollte man auf die relevanten organisatorischen Pflichten vorbereitet sein.
IT-Sicherheitsgesetz
Das 2015 verabschiedete IT-Sicherheitsgesetz (IT-SiG) ist ein Artikelgesetz, das neben dem BSI-Gesetz (BSIG) auch das Energiewirtschaftsgesetz, das Atomgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert. Unverändert bleibt hier nach BSIG, dass KRITIS-Betreiber erhebliche IT-Störungen dem BSI melden müssen, sofern diese Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können.
Telekommunikationsunternehmen müssen erhebliche IT-Störungen auch der Bundesnetzagentur (BNetzA) melden. Darüber hinaus sind sie verpflichtet ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird.
An das BSI gemeldet wird über eine benannte Kontaktstelle. Diese muss vorher beim BSI registriert werden. Als Kontaktstelle wird ein Funktionspostfach verstanden, welche jederzeitige Erreichbarkeit 24x7 gewährleistet.
Betreiber, die dem gleichen Sektor angehören, haben die Möglichkeit, eine gemeinsame übergeordnete Ansprechstelle (GÜAS) zu benennen. Dann erfolgt der Informationsaustausch zwischen dem Betreiber und dem BSI über die gemeinsame Ansprechstelle.
Inhalt der Meldung
Die Meldung an das BSI sollte immer folgende Angaben enthalten:
- Angaben zur Störung
- Angaben zu technischen Rahmenbedingungen
- Vermutete oder tatsächliche Ursache
- Informationen über Art der betroffenen Anlage
Als Hilfe dient die Vorlage für die Meldung vom BSI. Die namentliche Nennung des Unternehmens ist nur erforderlich, wenn die Störung zu einem Ausfall oder einer Beeinträchtigung geführt hat.
Gewöhnliche oder außergewöhnliche Störung
Nicht jede Störung muss gemeldet werden. Das IT-SiG und das BSIG sehen nur die Meldung von außergewöhnlichen bzw. erheblichen IT-Störungen vor. Wie entscheidet man welche Störung erheblich ist und welche nicht?
Gewöhnliche IT-Störung
- Festplattenfehler
- Hardwareausfall
- Spam
- durch Virenschutz erkannte Schadsoftware
- ungezieltes Phishing
Erhebliche IT-Störung
- außergewöhnliche & unerwartete technische Defekte mit IT-Bezug
- neue, bisher nicht veröffentlichte Sicherheitslücke
- unbekannte Schadprogramme
- Spear-Phishing
Die folgenden Grafik beschreibt möglichst übersichtlich, welche Meldekriterien gelten und wonach man sich im Zweifel richten kann:
Nach der Meldung an das BSI obliegt der weitere Informationsfluss dieser zentralen Stelle. Unternehmen bzw. KRITIS-Betreiber sind für den weiteren Verlauf als Informationsgeber verpflichtet. Die folgende Grafik verdeutlicht den weiteren Verlauf nach einer Meldung über eine erhebliche IT-Störung.
NIS-Richtline, BDSG und DSGVO
Neben den Meldepflichten laut BSIG und IT-Sicherheitsgesetz gelten in diesem Zusammenhang weitere Gesetze, die nicht außer Acht gelassen werden dürfen:
NIS-Richtline
Auf EU-Ebene gelten weitere Richtlinien. An dieser Stelle sei angemerkt, dass es immer förderlich ist, sich an die DSGVO zu halten, da diese Richtlinie europaweit gilt. Das 2017 verabschiedete Gesetz zur NIS-Richtlinie ist das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit. Es ergänzt das IT-SiG dahingehend, dass auch Anbieter von digitalen Diensten Meldepflichten bei erheblichen IT-Störungen unterliegen. Dazu zählen Betreiber von:
- Online-Marktplätzen
- Online-Suchmaschinen
- Cloud-Computing-Diensten
Darüber hinaus ist laut European Data protection die Meldung von Datenpannen personenbezogener Daten aller Businesssektoren an die jeweiligen nationalen Aufsichtsbehörden binnen 24 Stunden verpflichtend.
Hier klingt der nächste wichtige Aspekt an: Verletzungen des Schutzes personenbezogener Daten!
Bundesdatenschutzgesetz (BSDG) und Datenschutz-Grundverordnung (DSGVO)
Zusätzlich zum IT-SiG gelten grundsätzlich das BSDG und die DSGVO. Laut §65 und §66 des BSDG müssen Verantwortliche die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an den Bundesbeauftragten melden. Gleiches gilt laut Artikel 33 und 34 der DSGVO. Hier erfolgt die Meldung im gleichen Zeitrahmen an die Aufsichtsbehörde.
Die Meldung sollte folgendes beinhalten:
- Beschreibung der Art der Verletzung
- Angaben zu den Kategorien und den betroffenen Kategorien der Daten
- Angaben zu der Anzahl der betroffenen Personen und betroffenen Datensätze
- Namen und Kontaktdaten des Datenschutzbeauftragten/Anlaufstelle für Informationen
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen Maßnahmen zur Behandlung
Die Meldepflichten bei Security Incidents sind umfangreich. Im Zweifelsfall gilt: Lieber einmal zu viel melden, als einmal zu wenig. Bei Unsicherheiten, ob eine Meldung notwendig oder wirklich relevant ist, kann diese sowohl freiwillig als auch anonym erfolgen. Grundsätzlich ist es ratsam, sich die Gesetzeslage der DSGVO und des IT-Sicherheitsgesetzes zu Rate zu ziehen und danach zu handeln. Bei Fragen hilft das BSI oder die suresecure.
