Home


Der praktische Überblick über das IT-Sicherheitsgesetz

Der praktische Überblick über das IT-Sicherheitsgesetz

Sowohl im privaten als auch im beruflichen Leben nimmt die Digitalisierung und die Verbreitung von Internet of Things (IoT) zu. Und so bieten sich Kriminellen immer mehr Möglichkeiten und die Internet-Kriminalität steigt. Nach einer Studie des IT−Branchenverbandes Bitkom beträgt der Schaden für die deutsche Wirtschaft durch Cyber-Angriffe rund 100 Milliarden EUR pro Jahr, jedoch existiert bei Cyberattacken eine gewisse Dunkelziffer. Im Jahr 2019 gingen 75% der Unternehmen davon aus, in den letzten zwei Jahren Opfer einer Attacke von Datendiebstahl oder Industriespionage geworden zu sein. Mit dem IT-Sicherheitsgesetz 2.0 soll ein Maßnahmenpaket zum Schutz der Gesellschaft, aber auch zur Stärkung des Staates und für eine widerstandsfähige Wirtschaft geschaffen werden.

Das erste IT-Sicherheitsgesetz

Das erste IT-Sicherheitsgesetz (ITSiG) wurde 2015 veröffentlicht. In ihm wurden die kritischen Versorgungsbereiche (KRITIS) definiert. Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zählen demnach grundsätzlich zu den kritischen Infrastrukturen. Anhand von Schwellenwerten, die 2016 und 2017 durch die Verordnung zur Bestimmung Kritischer Infrastrukturen (KritisV) konkretisiert wurden, können Betreiber prüfen, wann genau Anlagen als kritische Infrastruktur zu betrachten sind und welche Schwellenwerte in diesem Zusammenhang zu berücksichtigen sind. Die Schwellenwerte orientieren sich in der Regel an Kennzahlen, die den Verbrauch betreffen, und der Anzahl der an eine Anlage angeschlossenen Haushalte.

Obwohl schon im Juni 2018 und im Juli 2019 die ersten Fristen für die betroffenen Unternehmen abliefen, hat sich in der Umsetzung gezeigt, dass noch rechtlicher Nachbesserungsbedarf besteht, welchem der Gesetzgeber mit dem zweiten Referentenentwurf vom 7. Mai 2020 nachkommen will.

Die wichtigsten Neuerungen des zweiten Referentenentwurfs

Schwerpunkte des neuen Entwurfs sind die Überarbeitung des BSI-Gesetzes sowie Änderungen im Telekommunikations- und Telemediengesetz. Er konkretisiert den ersten Entwurf aus März 2019.

Befugnisse des Bundesamts für Sicherheit und Informationstechnik (BSI)

Eine der wichtigsten Änderungen ist, dass das Gesetz die Rolle des BSI als zentrale Behörde mit sehr weitreichenden Befugnissen stärkt. So werden dem Amt wesentliche neue Rechte eingeräumt.

Das BSI soll zum Beispiel auf dem Markt verfügbare IT-Produkte auf Sicherheit überprüfen dürfen und diese mit Labeln zur IT-Sicherheit sichtbar machen. Die Überprüfung der Produkte erstreckt sich dabei auch auf noch in der Entwicklung befindliche Produkte. Als IT−Produkte gelten Hardware und Software, nicht jedoch digitale Dienste.  

Erweitert wurden auch die Befugnisse des BSI für den Fall, dass IT-Systeme kritischer Infrastrukturen oder anderer wichtiger Unternehmen angegriffen wurden. Hierzu wird in Abstimmung zum Beispiel mit der Bundesnetzagentur oder der BaFin ein Gesamtkrisenreaktionsplan erarbeitet. Im Falle einer Krise kann das BSI betroffenen Unternehmen auch Anweisungen erteilen, sofern das Unternehmen aus Sicht des BSI nicht angemessen handelt.

Neue Verpflichtung für Provider

Des Weiteren wird die Position des BSI gegenüber Providern gestärkt. Nach dem aktuellen Entwurf sind Telekommunikationsanbieter und Telemedienanbieter verpflichtet, dem BSI bei der Cyberabwehr oder der Beseitigung von Angriffsfolgen zu helfen. So sollen Provider bei der Verbreitung von rechtswidrig erlangten Daten zur Löschung, zur Meldung und zu Bestandsauskünften verpflichtet werden.

Anpassung von Geldbußen

Abgesehen von einer gestärkten Position des BSI wird, komplementär zur DSGVO, der Rahmen für Geldbußen angepasst. Der Gesetzgeber sieht bei Verstößen ein Höchstmaß an Geldbußen von bis zu 20.000.000 EUR oder bis zu vier Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Zum Vergleich: Im ersten Referentenentwurf waren lediglich Strafmaße von 100.000 EUR je Verstoß vorgesehen.

Konkretisierung der KRITIS-Anforderungen

Neben der Stärkung des BSI und der Erweiterung der Strafmaße wurde versucht, die Anforderungen an Betreiber kritischer Infrastrukturen zu konkretisieren. Hinsichtlich der Umsetzung waren die KRITIS-Anforderungen eine große Herausforderung für Unternehmen, da keine einheitlichen Vorgaben existierten. Zur Konkretisierung des Anforderungskatalogs wurden in der Vergangenheit, in Abstimmung mit dem BSI, von Arbeitsgruppen sogenannte branchenspezifische Sicherheitsstandards (B3S) erarbeitet. Sektoren, wie z. B. das Gesundheitswesen oder die Wasserentsorgung, entwickelten eigene Standards. Auf der einen Seite führte dies zu einer Konkretisierung, auf der anderen aber auch zu einer gewissen Uneinheitlichkeit besonders für Unternehmen, für die kein relevanter B3S existierte.

Um Unternehmen in diesem Zusammenhang zu unterstützen, hat das BSI am 28. Februar 2020 mit der “Konkretisierung der Anforderungen” eine hilfreiche Unterlage für Unternehmen veröffentlicht. Der Anforderungskatalog unterstützt Unternehmen bei der Auswahl, Umsetzung und Prüfung der von ihnen, gemäß § 8a Absatz 1 BSI-Gesetz (BSIG), umzusetzenden IT-Sicherheitsvorkehrungen.

Neue Anforderungen

Auch wenn das BSI daran gearbeitet hat, Unternehmen bei der Umsetzung zu unterstützen und die Anforderungen klarer darzustellen, kommen mit dem neuen Gesetz natürlich wieder neue Anforderungen dazu. Hervorzuheben sind hier sicherlich die KRITS-Kernkomponenten und Systeme zur Angriffserkennung.

KRITIS-Kernkomponenten, zum Beispiel IT-Produkte, die unmittelbar für den Betrieb der Anlage relevant sind, sind grundsätzlich keine Neuerung des IT-Sicherheitsgesetzes 2.0. Neu ist aber, dass das BSI Mindeststandards für diese Komponenten definiert und damit aktiv die gesamte Lieferkette betrachtet. In den Anlagen dürfen dann nur noch Komponenten von Herstellern genutzt werden, die eine Vertrauenswürdigkeitserklärung gegenüber dem Betreiber der kritischen Infrastruktur abgeben haben. Abgesehen von typischen IT-Komponenten, erweitert das BSI auch den Fokus auf moderne vernetzte Technologien, wie IoT-Geräte oder Industrial Control Systems (ICS-Geräte), und wird in diesem Zusammenhang auch automatisierte Suchroutinen nutzen, um Schwachstellen aufzudecken.

Auch die Anforderungen an den Einsatz von Systemen zur Angriffserkennung (Security Information- und Event Management Systeme (SIEM)) sind eigentlich keine dedizierte Neuerung. Natürlich mussten Unternehmen in der Vergangenheit schon über solche Systeme verfügen. Neu ist aber, dass dies im überarbeiteten IT-Sicherheitsgesetz explizit verankert ist und dass das BSI die Ausgestaltung dieser Systeme in einer technischen Richtlinie festlegt. Zum Beispiel müssen Protokolldaten zukünftig nicht nur 3, sondern 18 Monate aufbewahrt werden.

Neue Sektoren und neue Infrastrukturen

Das IT-SiG 2.0 legt neue kritische Bereiche fest. Für diese Betreiber gelten dann ähnliche Pflichten wie für die bestehenden KRITIS-Einrichtungen und Unternehmen. Als neuer kritischer Sektor wurde die „Entsorgung von Siedlungsabfällen“ festgelegt. Nähere Informationen sollten in der kommenden Rechtsverordnung spezifiziert werden.

Besonders interessant ist die neue Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“, die zusätzlich in den Gesetzentwurf aufgenommen wurden. Grundsätzlich zählen dazu Unternehmen von besonderer volkswirtschaftlicher Relevanz, aber auch z. B. die Rüstungsindustrie. Des Weiteren sind Unternehmen betroffen, die IT-Produkte für die Verarbeitung staatlicher Verschlusssachen und Unternehmen herstellen, die einer Regulierung durch die Verordnung zum Schutz vor Gefahrstoffen unterliegen.

Fazit

Der zweite Referentenentwurf bringt eine Vielzahl von Änderungen mit sich. Grundsätzlich ist zu erkennen, dass der Gesetzgeber den Schutz von kritischen Infrastrukturen aber auch der Wirtschaft im Allgemeinen weiter gefasst will. Die Betrachtung der IT-Sicherheit geht nun deutlich weiter, bis in die Lieferkette der kritischen Infrastrukturen und der genutzten IT-Produkte. Des Weiteren werden die Befugnisse und Aufgaben des BSI noch breiter aufgestellt. In diesem Zusammenhang ist klar zu erkennen, dass der Durchgriff erhöht werden soll, sei es über die erwähnten Befugnisse oder auch über die drastisch verschärften Geldbußen.

Natürlich ist abzuwarten, wie der finale Gesetzestext aussieht. Trotzdem sollten Unternehmen, die bereits von KRITIS betroffen waren oder es zukünftig sein werden, jetzt schon anfangen, relevante Änderungen für ihre Sicherheitskonzepte zu berücksichtigen.

Mit RSM gut beraten

Haben Sie Fragen zum IT- Sicherheitsgesetz? Brauchen Sie einen Spezialisten, der Sie unterstützt? Unsere Kollegen sind Ihnen gerne behilflich. Sprechen Sie uns an - wir stehen Ihnen jederzeit zur Verfügung.