Vor der Einführung von BSI-KritisV IT-Sicherheitsgesetz zieht im Datacenter die Schrauben an

Autor / Redakteur: Dr. Dietmar Müller / Ulrike Ostler

Noch in diesem Mai soll das neue Bundesgesetz zur IT-Sicherheit eingeführt werden. Was kommt auf die Betreiber von Rechenzentren zu? Welche Auswirkungen wird die neue Verordnung auf den Standort Deutschland haben. Wir sprachen mit Matthias Zacher, Senior Consultant bei IDC in Frankfurt.

Firmen zum Thema

Bis jetzt gelten Rechenzentren mit weniger als 5 Megawatt vermietete Leistung als unkritisch - bis jetzt.
Bis jetzt gelten Rechenzentren mit weniger als 5 Megawatt vermietete Leistung als unkritisch - bis jetzt.
(Bild: © Weissblick - Fotolia)

An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Der italienische Informatiker Piero Manzano vermutet einen Hacker-Angriff und versucht, zu den Behörden durchzudringen – erfolglos. So das keineswegs an den Haaren herbeigezogene Eingangsszenario von Marc Elsbergs Roman „Blackout“. Sowohl die Zahl an schwerwiegenden Sicherheitslücken als auch die Anzahl der zielgerichteten Angriffe auf Behörden und Unternehmen nehmen stetig zu.

Damit dieses Szenario mit seinen vielen Millionen Toten nicht Wirklichkeit werden kann, hat das Innenministerium am 13. April 2016 die BSI-Kritis-Verordnung, schön bürokratisch „BSI-KritisV“ abgekürzt, beschlossen. Sie soll noch in diesem Mai mit der Verkündung im Bundesgesetzblatt in Kraft treten.

Sie betrifft zunächst die vier Sektoren Energie, Informationstechnik und Telekommunikation (IKT), Wasser und Ernährung. Durch die neue Verordnung wird definiert, welche Betreiber konkret betroffen sind. Bislang oblag die Bewertung, ob Infrastrukturen für die Versorgung der Allgemeinheit mit wichtigen Dienstleistungen als „kritisch“ anzusehen sind, nämlich alleine der Einschätzung des jeweiligen Betreibers.

Die Zahl der betroffenen Datacenter-Betreiber steigt

In Fachkreisen wurde bislang von rund 30 betroffenen Rechenzentren ausgegangen. Laut Matthias Zacher, Senior Consultant bei IDC in Frankfurt, könnte die Zahl nun aber deutlich nach oben korrigiert werden.

Entsprechend voll sind die einschlägigen Foren mit Fragen wie: „Was gilt denn nun als ‚kritisch‘?“ beziehungsweise „Wer muss sich wirklich melden?“ Die Unsicherheit scheint groß zu sein. Laut einer PwC-Umfrage sind sich 18 Prozent der Unternehmen unsicher, ob sie dem Gesetz unterliegen. Das BSI hat deshalb vorab eine Tabelle zum IT-Sicherheitsgesetz veröffentlicht, in der Unternehmen abschätzen können, ob und wie sie von dem Gesetz betroffen sind.

Die Stellschrauben müssen angezogen werden

Was aber ist zu tun, wenn ein Rechenzentrum als kritisch eingestuft wird? Nun, das BSI-KritisV basiert auf dem „Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ vom 25. Juli 2015. Als Kernbestandteil sehen die neu eingefügten Paragraphen des BSI-Gesetzes vor, dass betroffene informationstechnische Systeme von den jeweiligen Betreibern durch IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ abzusichern sind (§ 8a Absatz 1 BSIG) – soweit klar. „Erhebliche“ IT-Vorfälle müssen zudem an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

IDC-Analyst Zacher rechnet darüber hinaus damit, dass betroffene Rechenzentren in bestimmten Zeitabständen - er vermute alle zwei Jahre - ein Auditing über sich ergehen lassen müssen. Aktuell gebe es dafür noch keine fixen Vorgaben, auch diese müssen erst vom BSI festgelegt werden.

Üblich ist aber das Protokollieren von Datensätzen, die angeben, welcher Nutzer in IT-Systemen zu welchem Zeitpunkt was getan hat. Die zu speichernden Datensätze beziehen sich auf sicherheitsrelevante Ereignisse in IT-Systemen. Die Steuerung dieser Protokollierung erfolgt von außen, Zacher sieht dafür die in Deutschland mit der Überprüfung der Einhaltung von Sicherheitsstandards üblicherweise beauftragten Organisationen wie TÜV Süd und Nord als prädestiniert an.

Wie wird das im konkreten Fall laufen? Ziehen wir als Beispiel eine Einrichtung heran, die ganz sicher dem neuen Sicherheitsgesetz unterliegen wird: der Internet-Knoten DE-CIX in Frankfurt. Er gilt gemessen am Verkehrsaufkommen bekanntermaßen als der größte seiner Art in der Welt. „Man kann davon ausgehen, dass DE-CIX heute schon nach allen Regeln der Kunst abgesichert ist“, so Zacher. „Das IT-Sicherheitsgesetz wird aber sicherlich vom Betreiber verlangen, die Abwehr stets auf dem neusten Stand zu halten und gegebenenfalls Stellschrauben anzuziehen. Hier kann der Blick auf die Sicherheit nicht kritisch genug sein.“

Standort Deutschland: Kosten versus Sicherheit

Die Messlatte wird hierzulande also wieder einmal höher gelegt. Was bedeutet das für den Standort Deutschland? Wie wird sich das neue Gesetz auf die Wettbewerbsfähigkeit deutscher Rechenzentren im Vergleich zu denen in ausländischen Standorten auswirken?

„Für die Betreiber von KRITIS-Rechenzentren wird das Leben durch das neue Sicherheitsgesetz mit der vorgeschriebenen Auditierung sowie neuen und vermutlich noch strengeren gesetzlichen Vorgaben sehr wahrscheinlich noch einmal komplizierter“, sagt Zacher. Doch das könnte sich durchaus auszahlen: „Für die Nutzer werden deutsche Rechenzentren noch einmal ein Stück weit interessanter - können sie doch davon ausgehen, dass ihre Daten nach bestem Wissen und Gewissen geschützt sind. Insofern stärkt das neue Gesetz den Standort Deutschland.“

Matthias Zacher ist Senior Consultant bei IDC Central Europe.
Matthias Zacher ist Senior Consultant bei IDC Central Europe.
(Bild: Uwe Noelke MENSCHENfotografie)

Allerdings gelte es auf Seiten der Betreiber darauf zu achten, die durch das Gesetz neu entstehenden Kosten nicht eins zu eins an die Kunden weiterzugeben, so der Senior Analyst. Sobald für die Nutzung der hochsicheren KRITIS-Rechenzentren ein zu hoher Preis anfalle, könnte so mancher Anwender der Versuchung erliegen, ein kostengünstigeres, dafür aber vergleichsweise unsicheres Rechenzentrum zu nutzen. „Ausschlaggebend ist hier ganz klar der Preis“, so Zacher. „Er entscheidet darüber, ob das neue Gesetz den Standort Deutschland weiter stärkt - oder für einen Abfluss der Kunden in ausländische Rechenzentren sorgt.“

* Dietmar Müller ist freier Fachjournalist und lebt in Niederbayern.

(ID:44059269)