Das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-SiG 2.0 ist seit Mai 2021 in Kraft. Das IT-Sicherheitsgesetz 2.0 ist eine Ergänzung des BSI-Gesetzes aus dem Jahr 2009 (auch als BSIG bekannt, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Es folgt auf das erste Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, welches bereits 2015 rechtskräftig wurde und zusammen mit dem BSI die Sicherheit Kritischer Infrastrukturen (KRITIS) regelt sowie Pflichten und Aufgaben von Betreibern und Staat festlegt. Das neue IT-SiG konkretisiert die Anforderungen an KRITIS-Unternehmen und verpflichtet diese, die neuen Sicherheitsmaßnahmen bis Mai 2023 umzusetzen. Die Zeit wird also knapp, deshalb ist das Gesetz aktuell so präsent in den News-Seiten und auf Fachportalen. Sie finden eine Übersicht der wichtigsten Neuerungen und Regelungen in diesem BIENE IT Blogbeitrag.
Welche Regelungen und Herausforderungen beinhaltet das IT-SiG 2.0?
Im Fokus der neuen Anforderungen stehen nicht nur KRITIS-Betreiber, sondern auch die Unternehmen im besonderen öffentlichen Interesse (kurz UBI). Neu ist außerdem die Etablierung der Einrichtungen zur Siedlungsabfallentsorgung als neuen KRITIS-Sektors.
Somit gehören folgende Bereiche zu der Gruppe der KRITIS-Betriebe:
- Finanz- und Versicherungswesen
- Ernährung
- Wasserversorgung
- Transport & Verkehr
- Informationstechnik- & Telekommunikation
- Gesundheit / medizinische Versorgung
- Energieversorgung
- Staat & Verwaltung
Zur Verdeutlichung: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle: https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/kritische-infrastrukturen_node.html#:~:text=Die%20Versorgung%20mit%20diesen%20und,aber%20auch%20die%20medizinische%20Versorgung)
Das aktualisierte IT-SiG sieht eine Reihe von Regelungen für KRITIS-Unternehmen vor, darunter Informations- und Meldepflichten gegenüber dem BSI, zum Beispiel in Bezug auf IT-Produkte, welche für die Gewährleistung von Funktionalität wichtig sind sowie Bekanntgabe kritischer Störungen. Zu den Pflichten gehört außerdem die Einhaltung von Mindestsicherheitsstandards, unter anderem durch den Einsatz von sogenannten Intrusion Detection Systemen. Sie sind in der Lage, mithilfe von Log-Dateien Angriffe auf Computer, Server und Netzwerke zu erkennen. Auch Sicherheitsanforderungen für kritische Komponenten (bestimmte IT-Produkte) müssen eingehalten werden. Was die Letzteren angeht, lautet die Regelung: ein KRITIS-Unternehmen muss den erstmaligen Einsatz von kritischen Komponenten beim BSI anzeigen. Es muss eine Garantieerklärung der Vertrauenswürdigkeit vom Hersteller vorliegen. Neu: Diese erstreckt sich auf die gesamte Lieferkette des Herstellers.
Zu den kritischen Komponenten zählen IT-Produkte, die in den KRITIS eingesetzt werden und Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gewährleisten. Somit sind sie bedeutend fürs Funktionieren des Gemeinwesens. Die betroffenen IT-Produkte werden entweder gesetzmäßig als kritische Komponenten bestimmt oder durch ihre kritische Funktion in einem KRITIS-Unternehmen als solche definiert. Das BSI hat laut Gesetz ein Veto-Recht, kann also die Verwendung von kritischen Komponenten verbieten, falls es nach der Einschätzung des Ministeriums durch den Einsatz dieses IT-Produkts zu einer Beeinträchtigung der öffentlichen Sicherheit und Ordnung kommen kann.
Gravierende Ausfallfolgen werden auch bei den UBI vermutet, weshalb sie sich ebenfalls beim BSI registrieren und erhebliche Störungen melden müssen, zum Beispiel Sicherheitslücken, Schadprogramme oder Cyberangriffe. Diese Kategorie umfasst Rüstungsbetriebe und Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen sowie Unternehmen mit einer hohen volkswirtschaftlichen Bedeutung (und auch ihre Zulieferer, wenn sie von wesentlicher Bedeutung sind) und Firmen aus dem Sektor der Gefahrstoffe (Chemieunternehmen). Die Ersteren sind zum 1. Mai 2023 verpflichtet, eine Selbsterklärung über IT-Sicherheit und eine Registrierung beim BSI einzureichen. Für die Unternehmen mit hoher volkswirtschaftlichen Bedeutung besteht aktuell kein Handlungsbedarf. Die Betriebe aus dem Bereich Gefahrstoffe sind bereits seit 2021 zu Vorfallsmeldungen verpflichtet.
Das aktualisierte IT-Sicherheitsgesetz ist unter anderem auf die Zunahme von Cyberangriffen auf KRITIS-Einrichtungen bzw. auf gesellschaftlich relevante Betriebe zurückzuführen und verfolgt das Ziel, diese Bereiche gegen fortschrittliche Angriffsmethoden, wie zum Beispiel Ransomware, besser aufzustellen. Vor diesem Hintergrund soll die Cybersicherheit von KRITIS- und UBI-Unternehmen erhöht werden. Die allgemeine Cybersicherheit ist für das IT-SiG 2.0 ebenso von großer Bedeutung: “Ziel des IT-Sicherheitsgesetzes ist aber auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet.” (Quelle: https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/1-0/it_sig-1-0_node.html#:~:text=Mit%20dem%20seit%20Juli%202015,den%20sichersten%20weltweit%20zu%20machen)
Die Veränderungen beim IT-SiG 2.0 umfassen sowohl zusätzliche Pflichten für die betroffenen Unternehmen als auch neue Befugnisse des Bundesamts für Sicherheit in der Informationstechnik. Neben dem oben erwähnten Veto-Recht für den Einsatz von kritischen Komponenten, erhält das BSI weitere Kompetenzen. Diese beinhalten Definition und Kontrolle von Mindeststandards zum Schutz der IT-Systeme sowie Festlegen vom neusten Stand der Technik für sicherheitstechnische Anforderungen an IT-Produkte. Darüber hinaus ist es dem Ministerium erlaubt, die KRITIS-Betreiber selbst zu registrieren, wenn diese der Anmeldepflicht nicht nachkommen. Der Anspruch auf Auskünfte ergänzt die Befugnisse des BSI: Das Ministerium kann beispielsweise den Nachweis von Systemen zur Angriffs- und Anomalieerkennung verlangen. Diese wurden oben bereits genannt (Intrusion Detection Systemen) und sollen im nächsten Abschnitt separat erläutert werden.
Für maximale IT-Sicherheit: was hat es mit Angriffserkennung auf sich?
Die Mindestsicherheitsstandards von IT-SiG 2.0 schließen Systeme zur Angriffs- und Anomalieerkennung nach dem neusten Stand der Technik mit ein, die in den KRITIS- und UBI-Betrieben spätestens zum 1. Mai 2023 implementiert werden müssen. Die Intention dahinter: kontinuierliche automatische Überwachung zum Vorbeugen bzw. möglichst frühem Erkennen von Cyberangriffen. Die Systeme zur Angriffs- und Anomalieerkennung gleichen die Daten des laufenden IT-Betriebs mit bestimmten Parametern, Merkmalen und technischen Mustern ab, die auf Sicherheitsvorfälle hindeuten. Als eine geeignete Methode zur Angriffserkennung wird im neuen IT-Sicherheitsgesetz die automatisierte Anomalieerkennung empfohlen. Diese erkennt die Abweichungen im Normalverhalten legitimer Teilnehmer und weist auf diverse Auffälligkeiten in Echtzeit hin. Weitere verpflichtende Sicherheitsmaßnahmen enthalten unter anderem die Ausarbeitung von Reaktionsplänen und Präventionsmaßnahmen im Fall einer massiven Störung.
IT-Sicherheit durch staatliche Regulierung: die Resonanz zum IT-SiG 2.0
Bei Nicht-Einhaltung der Pflichten, die aus dem aktualisierten IT-Sicherheitsgesetz hervorgehen, drohen den betroffenen Unternehmen hohe Bußgelder. Für viele Betriebe besteht also akuter Handlungsbedarf. Trotz aufwendiger Aufrüstungen in Sachen Cybersicherheit wird das neue Gesetz von vielen Seiten begrüßt, weil er dazu beitragen soll, die Kritische Infrastruktur vor Cyberangriffen zu schützen bzw. die Versorgungssicherheit sicherzustellen. Anderseits gibt es Gegenstimmen, die insbesondere eine staatliche Überregulierung befürchten und hohe bürokratische Hürden kritisieren. Mehrere Statistiken belegen: Cyberattacken nehmen zu, auch auf Unternehmen Kritischer Infrastruktur. Sie werden außerdem immer raffinierter und benötigen entsprechende Schutzmaßnahmen. Wir von BIENE IT unterstützen Sie gern in Sachen IT-Sicherheit im Unternehmen und sorgen für einen reibungslosen Workflow. Wir freuen uns auf Ihre Anfrage!