Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz oder IT-SiG) gilt seit Juli 2015. Der deutsche Gesetzgeber leistet durch diesen gesetzlichen Rahmen seinen Beitrag zur Absicherung der Systeme und Infrastrukturen, die auf Informationstechnik basieren.
Dabei ist es das gesetzte Ziel, den Schutz für Internetnutzer zu erhöhen und Betreiber, Verwaltungen und Institutionen vor Cyber-Kriminalität zu schützen. In Planung ist weiterhin eine Novellierung des Gesetzes, um das bestehende Regelwerk zu überarbeiten.
Die erwartete Neuauflage wird häufig als IT-Sicherheitsgesetz 2.0. bezeichnet.
Zusätzlich zum IT-SiG veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik die KRITIS -Verordnung und deren Veränderungsverordnungen für kritische Infrastrukturen, die jeweils 2016 und 2017 in Kraft traten. Die Pflichten, die sich aus dem IT-Sicherheitsgesetz und den Verordnungen in Hinblick auf KRITIS-Betreiber ergeben, sind folgende:
Alle zwei Jahre sollen Unternehmen zudem nachweisen, dass sie die Anforderungen des IT-Sicherheitsgesetzes weiterhin erfüllen und die Absicherung dem Stand der Technik entspricht.
Außerdem wurde durch das neue Gesetz eine Meldepflicht bei Sicherheitsvorfällen zwingend, die bis dato nur auf freiwilliger Basis stattfand. Die zuständige Aufsichtsbehörde ist die Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die Verantwortlichkeit des Staates für die IT-Sicherheit und die Verfügbarkeit von IT-Infrastrukturen in Deutschland nimmt zu. Im Rahmen eines zweiteiligen Jahresberichts informiert die Bundesbehörde außerdem die Öffentlichkeit darüber, wie die aktuelle Bedrohungslage im Bereich der IT-Sicherheit aussieht.
Grundsätzlich sind alle Webseitenbetreiber und Online-Anbieter betroffen, die kommerzielle Zwecke verfolgen. Das Gesetz gilt demnach für eine Großzahl von Unternehmen, unabhängig von ihrer Größe. Das BSI bietet jeweils kompakte Informationen zum IT-Sicherheitsgesetz und KRITIS im PDF-Format.
Eine klare Definition gibt es nicht. Das IT-Sicherheitsgesetz und seine Veränderungen nennen jedoch Wirtschaftszweige, deren Informationstechnik als kritische Infrastrukturen definiert werden. Unter anderem fallen darunter Unternehmen und Institutionen aus den Sektoren:
Anbieter kritischer Infrastrukturen werden häufig mit der Abkürzung KRITIS bezeichnet. Kritisch bedeutet in diesem Zusammenhang, dass die Verfügbarkeit bzw. reibungslose Funktionsweise dieser Dienste für besonders viele Bürger und Bürgerinnen wichtig ist.
Ausfälle oder Sicherheitslücken dieser Infrastrukturen hingegen schädigen eine große Anzahl an Privatpersonen, aber auch die Wirtschaft und den Staat als Ganzes. Aus diesem Grund sind diese Infrastrukturen besonders schützenswert und müssen hohe Sicherheitsanforderungen erfüllen. Mehr über KRITIS lesen Sie hier.
Die Kriterien, die für KRITIS gelten, sind messbar. Anhand von Schwellenwerten, Anzahl der zu versorgenden Anwohner oder der betriebenen Anlagen sind Unternehmen in der Lage, eigenständig festzustellen, ob sie zu den KRITIS zählen oder nicht.
Mit dem IT-SiG 2.0 soll das bisherige IT-Sicherheitsgesetz (1.0) überarbeitet und ergänzt werden. Seit März 2019 existiert ein Referentenentwurf, das Inkrafttreten wird im Jahr 2020 erwartet. Auch danach gibt es eine zweijährige Frist, bis die neuen gesetzlichen Vorgaben bindend werden.
Der Entwurf des IT-Sicherheitsgesetzes 2.0 sorgte für ein mediales Feedback. Der Hauptkritikpunkt am Inhalt ist, dass der Aufwand in keinem Verhältnis zum Nutzen stehe. Neben der deutlichen Verschärfung der Geldbußen für Verstöße, werden auch die Befugnisse des BSI stark ausgeweitet.
Während der bestehende Gesetzestext maximal 100.000 Euro pro Verstoß vorsieht, passt sich die Neufassung an die Vorgaben der EU-DSGVO an: Bußgelder können bis zu 2 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes betragen.
Die Straftatbestände und die Möglichkeiten der Behörden, diese Straftaten zu verfolgen, sollen ebenfalls im Zuge der Novellierung ausgebaut werden.
Der Wandel von einer Behörde von passiven, überwachenden Aufgaben hin zum aktiven Verbraucherschutz und investigativen Recherchen ist die stärkste Abwandlung zum bestehenden Gesetz: Wird der Entwurf verabschiedet, erhält das Bundesamt viele neue Kompetenzen (Auszug):
Diese umfangreichen neuen Rechte des BSI gehen manchen Kritikern zu weit. Es bleibt jedoch abzuwarten, inwieweit das IT-SiG 2.0 die Formulierungen des Entwurfs tatsächlich aufnimmt.
Gleichzeitig soll die Meldepflicht bei kritischen Störungen weiter ausgebaut werden. Problematisch ist die Tatsache, dass meldepflichtige Ereignisse nicht für den individuellen Hersteller definierbar sind.
Aus Angst vor saftigen Bußgeldern könnte so eine Flut von Meldungen entstehen, deren Bearbeitung – trotz angekündigtem Personalausbau seitens der Behörden – personell nicht zu stemmen ist.
Ein weiteres Ziel der Gesetzesnovelle ist eine gesamtheitliche Betrachtung von IT-Systemen. Das heißt, auch Hersteller so genannter IT-Kernkomponenten, deren Produkte Relevanz für die kritische Infrastruktur haben, müssen in die Maßnahmen zur Absicherung miteingeschlossen werden.
Vor dem Vertrieb der Kernkomponenten müssen Hersteller also eine Vertrauenswürdigkeitserklärung über die gesamte Lieferkette hinweg abgeben. Wie genau eine solche Erklärung aussehen soll, bleibt noch abzuwarten.
Das IT-SiG 2.0 enthält neben den bisherigen KRITIS eine Liste weiterer Wirtschaftsbereiche, die wie kritische Infrastrukturen behandelt werden sollen:
Auch für letztere Unternehmen wird voraussichtlich die strengere KRITIS-Verordnung gelten. Des Weiteren könnte das neue Gesetz bedeuten, dass das BSI individuell Unternehmen die hohen KRITIS-Sicherheitsstandards auferlegen darf – wenn sie aus Sicht der Behörde ein erhöhtes Risiko von Cyber-Angriffen aufweisen. Hierbei spricht man auch Betreibern mit Cyber-Kritikalität.
Die betroffenen Unternehmen und Seitenbetreiber müssen Maßnahmen umsetzen, um Sicherheitslücken vorzubeugen oder zu beheben. Nur so können sie die Ausfallsicherheit und den Datenschutz fortlaufend gewährleisten. Konkret sind damit z. B. Updates, Patches und Backups des Betriebssystems und der Anwendungen gemeint.
Ein wiederkehrendes Problem bei der Umsetzung der geforderten Maßnahmen stellt der schwammige Begriff „Stand der Technik” dar. Fixe technische Kenndaten, an denen der Stand der Technik festgemacht werden kann, sind im Gesetz nicht vorgesehen.
Damit überlässt der Gesetzgeber die Festlegung der notwendigen technischen Maßnahmen, z. B. zur Abwehr von DDoS-Attacken, explizit den KRITIS-Betreibern. Orientierungshilfe bieten allein Empfehlungen, die z. B. Branchenverbände, erarbeitet haben.
Die KRITIS-Betreiber müssen im ersten Schritt analysieren, inwieweit eigene Lösungen (Firewall, Router, Load Balancer, usw.) einen Schutz bieten und wo professionelle, externe Schutzlösungen notwendig sind. Neben Kompetenz und Service müssen die KRITIS-Unternehmen die angebotenen Schutzlösungen auch in Bezug auf Datenschutz und Compliance bewerten.
Bei der Umsetzung des IT-Sicherheitsgesetzes stehen die Unternehmen neben der technischen auch vor einer personellen Herausforderung: dem Fachkräftemangel im IT-Bereich. Das Institut der deutschen Wirtschaft will eine Netto-Lücke von 311.000 Fachkräften berechnet haben.
Der hohe Erfüllungsgrad des IT-SiG könnte diese Situation weiter verschärfen. Innovationen in den Bereichen der Künstlichen Intelligenz, der Automatisierung und des Machine Learning könnten dazu beitragen, den Fachkräftemangel in der Cyber-Sicherheit auszugleichen und die Personallücke ein wenig zu verkleinern.
Das IT-SiG zwingt die Unternehmen in jedem Fall zum Handeln. Wenn betroffene Unternehmen die Auflagen auf die leichte Schulter nehmen, die Absicherung der Cyber-Sicherheit zur Randnotiz verkommen lassen und Investitionen scheuen, riskieren sie nicht nur Ausfälle und gezielte Attacken, sondern auch Bußgelder. Daher sollte ausreichend Zeit und Budget für die angemessene organisatorische und technische Anpassung der IT-Systeme eingeplant werden.
