HANDLUNGSEMPFEHLUNGEN FÜR MEHR IT-SICHERHEIT.
WAS SIE AUS DIESEM ARTIKEL MITNEHMEN:
Was verändert sich durch das neue „IT-Sicherheitsgesetz 2.0“
Welche Auswirkungen hat dieses Gesetz auf Unternehmen und Verbraucher:innen
Gratis Ratgeber "Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks" zum Download
Der Deutsche Bundestag hat am 23.04.2021 das neue IT-Sicherheitsgesetz 2.0 beschlossen. Nachdem nun auch der Bundesrat am 07.05.2021 zugestimmt hat, ist am Freitag, dem 28. Mai 2021, das neue Gesetz mit der Verkündung im Bundesgesetzblatt in Kraft getreten (BGBl 2021 Teil I Nr. 25).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält von nun an neue Kompetenzen, die die Arbeit als Cyber-Sicherheitsbehörde des Bundes deutlich stärken wird. Trotz kritischer Stimmen von einigen Politiker:innen bezeichnete Horst Seehofer bereits den Gesetzesentwurf als „Durchbruch für Deutschlands Cybersicherheit“. Gleichzeitig bewerten es Experten als nicht weitgreifend genug. Da dieses verabschiedete Gesetz hauptsächlich die Stärkung des BSI fokussiert und es an anderen Stellen weiterhin Handlungsbedarf besteht, ist davon auszugehen, dass mit einem IT-Sicherheitsgesetz 3.0 zu rechnen ist. Doch was hat sich denn nun im Detail verändert?
IT-SICHERHEITSGESETZ 2.0: WAS STECKT DAHINTER?
Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist eine Erneuerung sowie Erweiterung des im Juli 2015 in Kraft getretenen Gesetzes für IT-Sicherheit 1.0. Im Wesentlichen wurden drei Bereiche – BSI, Verbraucherschutz und unternehmerische Vorsorgepflicht - weiterentwickelt.
STÄRKUNG DES BSI
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird ab sofort befugt, Kontrollen und Prüfungen der IT-Sicherheit unserer Bundesverwaltung durchzuführen. Vor allem bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI zum Einsatz kommen. Ein Beispiel dafür ist das 2020 in Kraft getretene Programm für kleine und mittelständische Unternehmen (KMU): „Digital Jetzt – Investitionsförderung für KMU“. Hier soll ab sofort das BSI proaktiv einbezogen werden und mitgestalten.
Des Weiteren wird die mögliche Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes von 3 auf bis zu 18 Monate verlängert. Protokolliert wird beispielsweise die Kommunikation zwischen Behörden und Bürgern. Außerdem werden Protokollierungsdaten neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
Zudem wird das BSI befugt, Sicherheitslücken an den Schnittstellen bestimmter informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Portscans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen, sogenannte Honeypots.
Um betroffene Personen zu schützen sowie zum Zweck ihrer Benachrichtigung wird das BSI auch befugt bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte anzufordern.
Außerdem kann das Bundesamt für Sicherheit ab sofort in der Informationstechnik Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen. So zum Beispiel soll das Gesetz unter anderem für die Informationssicherheit in den 5G-Mobilfunknetzen sorgen.
STÄRKUNG DES VERBRAUCHERSCHUTZES
Der Verbraucherschutz wird von nun an ebenfalls in den Aufgabenkatalog des BSI aufgenommen. Im Zuge dessen soll ein noch nicht definiertes einheitliches IT-Sicherheitskennzeichen für Verbraucher:innen eingeführt werden. Das einheitliche Kennzeichen hat die Zielsetzung, dass die IT-Sicherheitsfunktionen von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar gemacht werden.
Die Befugnis des BSI zur Untersuchung von IT-Produkten wird außerdem auch neu gefasst: Hersteller werden bei Untersuchungen von informationstechnischen Produkten und Systemen zur notwendigen Auskunft über ihre Produkte verpflichtet.
STÄRKUNG DER UNTERNEHMERISCHEN VORSORGEPFLICHT
Eine der Hauptänderungen bezieht sich auf die kritischen Infrastrukturen (KRITIS). Diese werden nun verpflichtet Systeme zur Angriffserkennung- wie z.B. Vulnerability Screens - einzusetzen.
Exkurs: KRITIS
Unter kritischen Infrastrukturen (KRITIS) versteht man Unternehmen und Einrichtungen mit sehr wichtiger Bedeutung für unser staatliches Gemeinwesen. Deren Ausfall oder Beeinträchtigung hätten nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen für unser staatliches Gemeinwesen als Resultat.
Zu diesen Unternehmen gehören Unternehmen aus folgenden Sektoren:
Energie
Gesundheit
Ernährung
Wasser
Transport und Verkehr
Finanz- und Versicherungswesen
Informationstechnik und Telekommunikation
Staat und Verwaltung
Medien und Kultur
Entsorgung
Rüstungsindustrie
Des Weiteren wurde der Kreis der KRITIS Sektoren erweitert, sodass nun auch Entsorgungsbetriebe und Infrastrukturen im besonderen öffentlichen Interesse – wie z.B. die Rüstungsindustrie - dazugehören.
Außerdem wurden die Schwellenwerte, ab wann ein Unternehmen als KRITIS eingestuft wird, angepasst. Dadurch werden nun weitaus mehr Unternehmen als KRITIS eingestuft und haben dementsprechend mehr Pflichten hinsichtlich der Informationssicherheit.
Zusätzlich dürfen nur noch Komponenten verbaut werden, die über ein BSI Sicherheitskennzeichen verfügen. Das wiederum bedeutet, dass auch die Dienstleister:innen der KRITIS Unternehmen immer mehr in den Fokus rücken.
EINSCHÄTZUNG DES IT-SICHERHEITSGESETZES 2.0.
Wie bereits erwähnt wurde mit dem IT-Sicherheitsgesetz 2.0 hauptsächlich das BSI gestärkt und einige Cybersicherheits-Fachexperten sind der Ansicht, dass das IT-SiG 2.0 immer noch zu viele Schwachstellen aufweist. Man kann somit davon ausgehen, dass in Zukunft parallel zum dynamischen Einsatz neuer Technologien im Alltag auch die Regeln und die Kontrolle weiter verschärft werden.
Ein Hauptaugenmerk könnte in Zukunft daraufgelegt werden, dass neben den KRITIS-Unternehmen auch die Zulieferer noch stärker in die Pflicht der Informationssicherheit genommen werden. Jedoch ist das eher eine Vermutung.
Ein guter und wichtiger Schritt hinsichtlich der Produktsicherheit ist das geplante Sicherheitskennzeichen. Dieses kann man mit dem bereits bekannten CE-Kennzeichnen vergleichen, wobei die Hardware zertifiziert wird. Mit dem neuen Sicherheitskennzeichen wird die Zertifizierung um die Prüfung sowie Sicherung der IT-Komponenten erweitert. Jedoch lässt sich vermuten, dass es hier auch in Zukunft weitere Regelungen hinsichtlich der Produktsicherheit geben wird.
Um bei den ändernden Anforderungen in der Digitalisierung, auch was die Compliance angeht, immer auf dem neusten Stand zu sein, steigt auch der Bedarf an externer Prüfung der implementierten Lösungen. Mit der Zertifizierung durch eine unabhängige Stelle kann belegt werden, dass alle notwendigen Maßnahmen umgesetzt wurden, um eine IT-Sicherheit gewährleisten zu können. Wie genau eine solche Auditierung ablaufen soll, ist jedoch noch nicht bekannt.
Insgesamt ist festzuhalten, dass das Gesetz Ende Mai 2021 in Kraft getreten ist und es nun viel Diskussion hinsichtlich der Umsetzung gibt. Vor allem ist auch zu identifizieren welche Unternehmen nun genau von der Erweiterung der KRITIS-Regelungen betroffen sind. Es ist also abzuwarten, wie sich das IT-Sicherheitsgesetz 2.0 durchsetzen lässt und wie das BSI seine neuen Kompetenzen umsetzt.
UMSETZUNG DES IT-SICHERHEITSGESETZES 2.0.
Auch wenn hinsichtlich der Umsetzung des IT-Sicherheitsgesetzes noch nicht alles eindeutig ist, so interessiert natürlich trotzdem, was es zu tun gibt. Deshalb nachfolgend einmal grob zusammengefasst, was Sie hinsichtlich der hauptsächlichen Inhalte des Gesetzes beachten sollten, wobei ich ausdrücklich darauf hinweisen möchte, dass dies keine abschließende Auflistung darstellt und dass die Angaben ohne Gewähr sind.
(1) Stärkung des BSI
“Nice to Know”, aber Sie haben wenig Einfluss.
Jedoch sollten Sie sich verstärkt mit der Informationssicherheit auseinandersetzen, um Ihre “Kronjuwelen” zu schützen - falls noch nicht geschehen wäre eine Zertifizierung nach ISO 27001 ratsam
(2) Stärkung des Verbraucherschutzes
Hier ist abzuwarten, wie genau eine Sicherheitskennzeichnung auszusehen hat und unter welchen Bedingungen
Somit besteht hier aktuell wenig Handlungsbedarf, ich halte Sie über die Entwicklungen gerne auf dem Laufenden
(3) Stärkung der unternehmerischen Vorsorgepflicht
Hinter der Stärkung der unternehmerischen Vorsorgepflicht steckt hauptsächlich das verstärkte Monitoring von IT-Sicherheitsschwachstellen
Insgesamt sind nun mehr Unternehmen von den Regelungen für KRITIS Unternehmen betroffen. Wer genau und was es dabei zu beachten gilt hat das BSI auf ihrer Website zusammengefasst
Für kleinere und mittlere Organisationen ist das “InformationsSicherheitsmanagementSystem” von ISIS12 ratsam. Hiermit sind Sie in 12 Schritten optimal im Bereich Informationssicherheit aufgestellt.
GRATIS DOWNLOAD.
Security Awareness ist nicht nur E-Learning und Phishing-Test. Für weitere Anregungen laden Sie sich gerne den kostenlosen Ratgeber „Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks“ herunter.
LASSEN SIE UNS ZUSAMMENARBEITEN.
Haben Sie Fragen zu effektiven und kostengünstigen Awareness Kampagnen? Fordern Sie noch heute eine kostenlose Erstberatung über das Formular auf meiner Website an, senden Sie mir eine E-Mail an hallo@re4ming.com oder melden Sie sich telefonisch +49 (0) 201 458 456 82. Ich freue mich auf Ihre Nachricht.
Alternativ halte ich Sie gerne mit Themen auf meinem Blog auf dem Laufenden. Hier berichte ich über aktuelle Trends, Best Practices und meine Learnings in den Bereichen Sensibilisierung für Fachthemen, E-Learning Prozesse, Projekt Management und Change Management sowie die Entwicklung von re4ming.
Folgen Sie re4ming auf den folgenden Plattformen, um keinen Beitrag zu verpassen: