Neue Serie im DANES-Blog: Das IT-Sicherheitsgesetz und die Folgen

Veröffentlicht am 19 Aug. 2015 von

 

Seit Ende Juli gilt in Deutschland das neue „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ oder kurz: IT-Sicherheitsgesetz (IT-SiG). Viele Experten begrüßen, dass der Gesetzgeber dem Thema IT-Sicherheit – und insbesondere dem Schutz kritischer Infrastrukturen – eine höhere Priorität einräumt. Allerdings lässt das neue Gesetz auch noch viele Fragen offen. In einer neuen Artikelserie im DANES-Blog wollen wir uns daher in den nächsten Wochen näher mit dem IT-Sicherheitsgesetz auseinandersetzen.

 

Warum wurde das IT-Sicherheitsgesetz verabschiedet?

 

Die Bundesregierung verfolgt mit dem IT-Sicherheitsgesetz das Ziel, Deutschland zu einen der sichersten digitalen Standorte weltweit zu machen. IT-Technologien durchdringen unseren Alltag immer stärker und haben immer größeren Einfluss auf das private und öffentliche Leben. Gleichzeitig sind IT-Systeme heute vielfältigen Bedrohungen ausgesetzt. Vorfälle wie die Stuxnet-Attacken auf die iranische Atomindustrie zeigten, dass auch kritische Infrastrukturen jederzeit zum Ziel von Cyber-Angriffen werden können. Mit dem IT-Sicherheitsgesetz sollen daher neue Mindestanforderungen für den Schutz von IT-Systemen in bestimmten Branchen etabliert werden.

 

Wen betrifft das IT-Sicherheitsgesetz?

 

Im Fokus des IT-Sicherheitsgesetzes stehen die so genannten Betreiber kritischer Infrastrukturen (KRITIS) – also Organisationen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Die KRITIS-Betreiber sind für das Funktionieren des Gemeinwesens von besonderer Bedeutung. Insgesamt zählen dazu in Deutschland rund 2.000 Organisationen.

 

Aber die neuen IT-Sicherheitsbestimmungen dürften in Zukunft nicht nur für die KRITIS-Betreiber selbst relevant sein, sondern auch für Unternehmen, die als Dienstleister oder Partner mit diesen Organisationen zusammenarbeiten. KRITIS-Betreiber werden von ihren Lieferanten künftig mit hoher Wahrscheinlichkeit ebenfalls die Einhaltung von bestimmten Sicherheitsstandards einfordern.

 

Das neue IT-Sicherheitsgesetz richtet sich darüber hinaus auch an alle Betreiber von Webangeboten wie zum Beispiel Online-Shops. Sie müssen ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten erfüllen. Damit betrifft das IT-Sicherheitsgesetz praktisch jedes Unternehmen, das Web-Server für geschäftliche Zwecke nutzt.

 

Welche Vorschriften umfasst das IT-Sicherheitsgesetz?

 

Neben den genannten Vorschriften für Webseitenbetreiber enthält das IT-Sicherheitsgesetz unter anderem die folgenden Regelungen:

 

  • Für Betreiber von Kernkraftwerken und Telekommunikationsunternehmen gilt ab sofort eine Meldepflicht bei allen erheblichen IT-Sicherheitsvorfällen. Bei Verstößen gegen die Meldepflicht drohen Strafen von bis zu 100.000 Euro.
  • Telekommunikationsunternehmen müssen ihre Kunden warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird – zum Beispiel als Teil eines Bot-Netzes. Um diese Angriffe zu identifizieren, dürfen Telekommunikationsanbieter Verbindungsdaten aufzeichnen und bis zu sechs Monate speichern
  • Alle Betreiber kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.

 

Wie sieht eine „angemessene Absicherung der IT nach dem Stand der Technik“ konkret aus?

 

Das ist eine der offenen Fragen des IT-Sicherheitsgesetzes. Derzeit arbeitet das Bundesministerium des Innern an einer Rechtsverordnung, die die neuen Mindeststandards für die IT-Sicherheit konkretisieren soll. Ab dem Inkrafttreten der Rechtsverordnung haben KRITIS-Betreiber zwei Jahre Zeit, die entsprechenden Anforderungen in die Praxis umzusetzen.

 

Was können Unternehmen jetzt schon tun?

 

Experten empfehlen allen Unternehmen, die von dem neuen Gesetz betroffen sind, ihre IT-Sicherheitsarchitektur frühzeitig auf den Prüfstand zu stellen. Schon jetzt sollten sie Bereiche identifizieren, die für ihre Prozesse besonders kritisch sind, und eine Strategie für ein ganzheitliches Management der Informationssicherheit entwickeln. Wie Unternehmen vorhandene Schwachstellen in ihrer Sicherheitsarchitektur aufspüren können, lesen Sie im nächsten Beitrag unserer Serie.

Weitere Informationen zum IT-Sicherheitsgesetz finden Sie auch auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik.

Grimm-Michael

Mit freundlichen Grüßen
Michael Grimm