In §8b des BSI-Gesetzes hat der Gesetzgeber eine Meldepflicht definiert, die für die Betreiber kritischer Infrastrukturen gilt. Aber was genau umfasst diese Meldepflicht?
Die Meldepflicht umfasst, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu melden. Allerdings sind alle Störungen zu melden, sowohl diejenigen, die erfolgreich behoben wurden als auch diejenigen, die zu einer Störung des Betriebs geführt haben.
Konkret: Ein Ausfall der IT-Systeme durch eine äußere Einwirkung, die das IT-Team schnell behebt und die zu keiner Beeinträchtigung führt, ist zu melden. Denkbar wäre hier, dass ein Kryptotrojaner das Anmelderepository verschlüsselt, die Störung aber behoben ist, sobald die Anmeldungen nach Schichtwechsel vorgenommen werden. In diesem Fall wäre anonym zu melden.
Wenn die Störung zu einem Ausfall wie z.B. im Jahr 2016 bei einigen Krankenhäusern führt, dann ist der Betreiber in der Meldung zu nennen.
Um diese Störungen zu erkennen, sind verschiedene organisatorische und technische Maßnahmen nötig, damit der nötige Informationssatz erkannt werden kann. Die Aufgabe sollte der IT-Sicherheitsbeauftragte übernehmen.
Beratungsbrief: abbonieren
