Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

IT-Sicherheitsgesetz: Das müssen Sie wissen

12.03.2020        IT-Sicherheit
IT-Sicherheitsgesetz: Das müssen Sie wissen
© Bundesamt für Sicherheit in der Informationstechnik

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz oder IT-SiG) gilt seit Juli 2015. Der deutsche Gesetzgeber leistet durch diesen gesetzlichen Rahmen seinen Beitrag zur Absicherung der Systeme und Infrastrukturen, die auf Informationstechnik basieren. Dabei ist es das gesetzte Ziel, den Schutz für Internetnutzer zu erhöhen und Betreiber, Verwaltungen und Institutionen vor Cyber-Kriminalität zu schützen. In Planung ist weiterhin eine Novellierung des Gesetzes, um das bestehende Regelwerk zu überarbeiten. Die erwartete Neuauflage wird häufig als IT-Sicherheitsgesetz 2.0. bezeichnet.

Was beinhaltet das IT-Sicherheitsgesetz?

Zusätzlich zum IT-SiG veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik die KRITIS -Verordnung und deren Veränderungsverordnungen für kritische Infrastrukturen, die jeweils 2016 und 2017 in Kraft traten. Die Pflichten, die sich aus dem IT-Sicherheitsgesetz und den Verordnungen in Hinblick auf KRITIS-Betreiber ergeben, sind folgende:

  • Einhaltung eines Mindestmaßes der IT-Sicherheit
  • Schaffung nachweisbarer technischer Voraussetzungen und organisatorischer Maßnahmen zum Schutz von Kundendaten
  • Absicherung nach Stand der Technik
  • Regelmäßige Kontrolle der Sicherheitsstandards
  • KRITIS-Betreiber: Meldepflicht bei Sicherheitsverletzungen oder Vorfällen gegenüber BSI und (betroffener) Kunden

Alle zwei Jahre sollen Unternehmen zudem nachweisen, dass sie die Anforderungen des IT-Sicherheitsgesetzes weiterhin erfüllen und die Absicherung dem Stand der Technik entspricht. 

Außerdem wurde durch das neue Gesetz eine Meldepflicht bei Sicherheitsvorfällen zwingend, die bis dato nur auf freiwilliger Basis stattfand. Die zuständige Aufsichtsbehörde ist die Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).  

Mehr Verantwortung für öffentliche Hand

Die Verantwortlichkeit des Staates für die IT-Sicherheit und die Verfügbarkeit von IT-Infrastrukturen in Deutschland nimmt zu. Im Rahmen eines zweiteiligen Jahresberichts informiert die Bundesbehörde außerdem die Öffentlichkeit darüber, wie die aktuelle Bedrohungslage im Bereich der IT-Sicherheit aussieht. 

Wen betrifft das IT-SiG?

  • Anbieter digitaler Dienste wie z. B. Suchmaschinen, Cloud-Computing-Anbieter, Online-Marktplätze
  • Betreiber kritischer Infrastrukturen

Grundsätzlich sind alle Webseitenbetreiber und Online-Anbieter betroffen, die kommerzielle Zwecke verfolgen. Das Gesetz gilt demnach für eine Großzahl von Unternehmen, unabhängig von ihrer Größe. Das BSI bietet jeweils kompakte Informationen zum IT-Sicherheitsgesetz und KRITIS im PDF-Format.

Was ist eine kritische Infrastruktur?

Eine klare Definition gibt es nicht. Das IT-Sicherheitsgesetz und seine Veränderungen nennen jedoch Wirtschaftszweige, deren Informationstechnik als kritische Infrastrukturen definiert werden. Unter anderem fallen darunter Unternehmen und Institutionen aus den Sektoren:

  • Energie (Strom, Gas, Fernwärme, Kraftstoff, Heizöl)
  • Ernährung (Lebensmittelversorgung)
  • Finanzen (Bargeldversorgung, kartengestützter Zahlungsverkehr, Wertpapier- und Derivatgeschäfte)
  • Gesundheit (verschreibungspflichtige Arzneimittel)
  • Informationstechnik (Datenübertragung, -speicherung und -verarbeitung)
  • Telekommunikation (Telefonieren über Festnetz oder Mobilfunk)
  • Transport und Verkehr (Personen- und Güterbeförderung im Luftverkehr, See- und Binnenschifffahrt, Straßenverkehr, Schienenverkehr, ÖPVN, Logistik)
  • Versicherungswesen
  • Wasser (Trink- und Abwasser)

Anbieter kritischer Infrastrukturen werden häufig mit der Abkürzung KRITIS bezeichnet. Kritisch bedeutet in diesem Zusammenhang, dass die Verfügbarkeit bzw. reibungslose Funktionsweise dieser Dienste für besonders viele Bürger und Bürgerinnen wichtig ist. Ausfälle oder Sicherheitslücken dieser Infrastrukturen hingegen schädigen eine große Anzahl an Privatpersonen, aber auch die Wirtschaft und den Staat als Ganzes. Aus diesem Grund sind diese Infrastrukturen besonders schützenswert und müssen hohe Sicherheitsanforderungen erfüllen. Mehr über KRITIS lesen Sie hier.

Die Kriterien, die für KRITIS gelten, sind messbar. Anhand von Schwellenwerten, Anzahl der zu versorgenden Anwohner oder der betriebenen Anlagen sind Unternehmen in der Lage, eigenständig festzustellen, ob sie zu den KRITIS zählen oder nicht.

Was ist das IT-Sicherheitsgesetz 2.0?

Mit dem IT-SiG 2.0 soll das bisherige IT-Sicherheitsgesetz (1.0) überarbeitet und ergänzt werden. Seit März 2019 existiert ein Referentenentwurf, das Inkrafttreten wird im Jahr 2020 erwartet. Auch danach gibt es eine zweijährige Frist, bis die neuen gesetzlichen Vorgaben bindend werden. Der Entwurf des IT-Sicherheitsgesetzes 2.0 sorgte für ein mediales Feedback. Der Hauptkritikpunkt am Inhalt ist, dass der Aufwand in keinem Verhältnis zum Nutzen stehe. Neben der deutlichen Verschärfung der Geldbußen für Verstöße, werden auch die Befugnisse des BSI stark ausgeweitet.

Höhere Strafen

Während der bestehende Gesetzestext maximal 100.000 Euro pro Verstoß vorsieht, passt sich die Neufassung an die Vorgaben der EU-DSGVO an: Bußgelder können bis zu 2 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes betragen. Die Straftatbestände und die Möglichkeiten der Behörden, diese Straftaten zu verfolgen, sollen ebenfalls im Zuge der Novellierung ausgebaut werden.

Neue Rechte und Kompetenzen der Behörde

Der Wandel von einer Behörde von passiven, überwachenden Aufgaben hin zum aktiven Verbraucherschutz und investigativen Recherchen ist die stärkste Abwandlung zum bestehenden Gesetz: Wird der Entwurf verabschiedet, erhält das Bundesamt viele neue Kompetenzen (Auszug):

  • Verbraucherschutz-Aufgaben:
    • Warnungen vor Risiken, Sicherheitslücken, Sicherheitsverletzungen
    • Empfehlungen für Prävention von und Reaktion auf Cyber-Attacken 
  • Einholung von Bestandsdateneinkünften von Telekommunikationsanbietern
  • Einführung eines IT-Sicherheitskennzeichens
  • Suche nach Malware oder Backdoors in Produkten
  • Zugriff auf Daten bei Dienstleistern des Bundes
  • Erlaubnis zur erweiterten Datenverarbeitung und Auswertung von Protokolldaten aus den Kommunikationsinfrastrukturen des Bundes bis zu 18 Monaten

Diese umfangreichen neuen Rechte des BSI gehen manchen Kritikern zu weit. Es bleibt jedoch abzuwarten, inwieweit das IT-SiG 2.0 die Formulierungen des Entwurfs tatsächlich aufnimmt.

Meldepflicht 2.0

Gleichzeitig soll die Meldepflicht bei kritischen Störungen weiter ausgebaut werden. Problematisch ist die Tatsache, dass meldepflichtige Ereignisse nicht für den individuellen Hersteller definierbar sind. Aus Angst vor saftigen Bußgeldern könnte so eine Flut von Meldungen entstehen, deren Bearbeitung – trotz angekündigtem Personalausbau seitens der Behörden – personell nicht zu stemmen ist. 

Neue Pflichten für Hersteller: Vertrauenswürdigkeitserklärung

Ein weiteres Ziel der Gesetzesnovelle ist eine gesamtheitliche Betrachtung von IT-Systemen. Das heißt, auch Hersteller so genannter IT-Kernkomponenten, deren Produkte Relevanz für die kritische Infrastruktur haben, müssen in die Maßnahmen zur Absicherung miteingeschlossen werden. Vor dem Vertrieb der Kernkomponenten müssen Hersteller also eine Vertrauenswürdigkeitserklärung über die gesamte Lieferkette hinweg abgeben. Wie genau eine solche Erklärung aussehen soll, bleibt noch abzuwarten. 

KRITIS 2.0: Infrastrukturen mit besonderem öffentlichem Interesse

Das IT-SiG 2.0 enthält neben den bisherigen KRITIS eine Liste weiterer Wirtschaftsbereiche, die wie kritische Infrastrukturen behandelt werden sollen:

  • Abfall- und Entsorgungsindustrie
  • Kultur und Medien
  • Rüstungsindustrie
  • Unternehmen von erheblicher wirtschaftlicher Bedeutung, deren Beeinträchtigung erhebliche volkswirtschaftliche Schäden verursachen kann. Als die Kategorisierung soll der „Prime Standard“ gelten, der für eine Listung von Aktiengesellschaften in DAX, MDAX, TecDax und SDAX Voraussetzung ist.

Auch für letztere Unternehmen wird voraussichtlich die strengere KRITIS-Verordnung gelten. Des Weiteren könnte das neue Gesetz bedeuten, dass das BSI individuell Unternehmen die hohen KRITIS-Sicherheitsstandards auferlegen darf – wenn sie aus Sicht der Behörde ein erhöhtes Risiko von Cyber-Angriffen aufweisen. Hierbei spricht man auch Betreibern mit Cyber-Kritikalität.

Wie wird das IT-Sicherheitsgesetz umgesetzt?

Die betroffenen Unternehmen und Seitenbetreiber müssen Maßnahmen umsetzen, um Sicherheitslücken vorzubeugen oder zu beheben. Nur so können sie die Ausfallsicherheit und den Datenschutz fortlaufend gewährleisten. Konkret sind damit z. B. Updates, Patches und Backups des Betriebssystems und der Anwendungen gemeint. 

Ein wiederkehrendes Problem bei der Umsetzung der geforderten Maßnahmen stellt der schwammige Begriff „Stand der Technik” dar. Fixe technische Kenndaten, an denen der Stand der Technik festgemacht werden kann, sind im Gesetz nicht vorgesehen. Damit überlässt der Gesetzgeber die  Festlegung der notwendigen technischen Maßnahmen, z. B. zur Abwehr von DDoS-Attacken, explizit den KRITIS-Betreibern. Orientierungshilfe bieten allein Empfehlungen, die z. B. Branchenverbände, erarbeitet haben. 

Die KRITIS-Betreiber müssen im ersten Schritt analysieren, inwieweit eigene Lösungen (Firewall, Router, Load Balancer, usw.) einen Schutz bieten und wo professionelle, externe   Schutzlösungen notwendig sind. Neben Kompetenz und Service müssen die KRITIS-Unternehmen die angebotenen Schutzlösungen auch in Bezug auf Datenschutz und Compliance bewerten.   

IT-Sicherheit 2020: Ohne Fachpersonal eine Mammutaufgabe mit finanziellem Risiko

Bei der Umsetzung des IT-Sicherheitsgesetzes stehen die Unternehmen neben der technischen auch vor einer personellen Herausforderung: dem Fachkräftemangel im IT-Bereich. Das Institut der deutschen Wirtschaft will eine Netto-Lücke von 311.000 Fachkräften berechnet haben. Der hohe Erfüllungsgrad des IT-SiG könnte diese Situation weiter verschärfen. Innovationen in den Bereichen der Künstlichen Intelligenz, der Automatisierung und des Machine Learning könnten dazu beitragen, den Fachkräftemangel in der Cyber-Sicherheit auszugleichen und die Personallücke ein wenig zu verkleinern. 

Das IT-SiG zwingt die Unternehmen in jedem Fall zum Handeln. Wenn betroffene Unternehmen die Auflagen auf die leichte Schulter nehmen, die Absicherung der Cyber-Sicherheit zur Randnotiz verkommen lassen und Investitionen scheuen, riskieren sie nicht nur Ausfälle und gezielte Attacken, sondern auch Bußgelder. Daher sollte ausreichend Zeit und Budget für die angemessene organisatorische und technische Anpassung der IT-Systeme eingeplant werden. 

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter