IT-Sicherheitsgesetz: Großes Update im Anmarsch

Das IT-Sicherheitsgesetz soll eine große Aktualisierung erhalten, um den Vorgabenkatalog und auch das BSI selbst an die aktuelle Bedrohungslage anzupassen. Im Kern sieht der aktuelle Gesetzentwurf für das IT-SIG 2.0 eine aktive Schutzfunktion des BSI für Staat, Wirtschaft und Bevölkerung vor.

Das IT-Sicherheitsgesetz (IT-SiG) ist nun schon seit Juli 2015 gültig und stellt eine regulatorische Vorgabe für die Informationssicherheit in Unternehmen, Organisationen und Behörden dar. Beim IT-SiG handelt es sich um ein komplexes Artikelgesetz, das viele verschiedene Inhalte tangiert und neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz sowie weitere Gesetze ändert und ergänzt. Das regulatorische Werk zielt dabei auf nichts Geringeres ab, „als die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“¹.

Absicherung Kritischer Infrastrukturen

Im Fokus des IT-SiG steht die Absicherung Kritischer Infrastrukturen (KRITIS), die die deutsche Bevölkerung mit grundlegenden Gütern versorgen und damit zentral für das wirtschaftliche und soziale Wohlergehen unserer Gesellschaft verantwortlich sind. Als Betreiber Kritischer Infrastrukturen gelten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge Unternehmen aus den Bereichen Energie- und Wasserversorgung, Gesundheitswesen, Ernährungswirtschaft, Finanz- und Versicherungswesen, IT und Telekommunikation sowie auch Transport und Verkehr. Ferner soll das IT-Sicherheitsgesetz zu einer allgemeinen Verbesserung der Cybersecurity bei Unternehmen, Behörden und den Bürgerinnen und Bürgern des Landes beitragen.

Update für das IT-Sicherheitsgesetz

In seiner jetzigen Form dient das Gesetz als wichtiger Wegweiser der Cybersicherheit in der deutschen Gesellschaft. Aufgrund der technologischen Entwicklung und einer sich stetig ändernden Bedrohungslage muss aber auch das IT-Sicherheitsgesetz regelmäßig an die aktuellen Anforderungen angepasst und aktualisiert werden.

Daher hat das Innenministerium einen Gesetzentwurf (Stand: 07.05.2020) für ein runderneuertes IT-Sicherheitsgesetz (IT-SiG 2.0) vorgelegt, der mitunter die Zuständigkeiten und Befugnisse des BSI ausweiten soll und konkretere Vorgaben an die KRITIS-Betreiber richtet. Ebenfalls in dem Entwurf vorgesehen ist eine deutliche personelle Aufstockung des BSI um über 580 Planstellen. Die neuen Aufgabenbereiche erfordern zusätzliche Kapazitäten in Bonn.

Alle wesentlichen Neuerungen im IT-Sicherheitsgesetz finden Sie nachfolgend übersichtlich aufbereitet. Welche Maßnahmen konkret auf das BSI und die KRITIS-Betreiber zukommen, wird sich aber erst bei der finalen Verabschiedung des Gesetzestextes erweisen, mit der nicht vor Ende 2020 zu rechnen ist.

Aktive Cybersicherheit

Das Innenministerium verfolgt mit dem IT-SiG 2.0 einen ganzheitlichen Ansatz, der „Maßnahmen zum Schutz der Gesellschaft bzw. der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft“ enthält. Hierzu müsse das BSI in eine proaktive Cybersecurity-Behörde umstrukturiert werden, die relevante Sicherheitslücken in den Systemen von Wirtschaft und Gesellschaft erkennt und schließt. Dafür soll das BSI im Internet nach verwundbaren oder ungesicherten Geräten (IoT / IIoT / ICS) Ausschau halten und die betroffenen Unternehmen und Nutzer bei einem Fund benachrichtigen.

Außerdem erhalte das BSI durch das IT-SiG 2.0 auch Befugnisse zur Installation lückenschließender Software. Auf diese Weise sei die Behörde beispielsweise in der Lage, aktiv gegen Botnetze vorzugehen und die betroffenen Geräte von Schadsoftware zu befreien. Zur Bekämpfung von Botnetzen ist darüber hinaus der Einsatz sogenannter Sinkhole-Server vorgesehen, die eine Kommunikation zwischen Bots und den dahinterliegenden Command- and-Control-Server (C&C-Server) unterbinden.

Vergehen werden härter bestraft

Die Bußgelder bei Verstößen gegen die Cybersicherheit orientieren sich im Entwurf für das IT-SiG 2.0 an der europäischen Datenschutz-Grundverordnung (EU-DSGVO). Entsprechend können schwere Verstöße mit Strafen in Höhe von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs geahndet werden – je nachdem, welcher der Beträge höher ist. Der bisherige Strafrahmen umfasst Bußgelder in Höhe von maximal 100.000 Euro je Verstoß.

Darknet & “Cybercrime as a Service” im Visier der Ermittler

Das überarbeitete IT-Sicherheitsgesetz will auch Strafermittlungsbehörden mehr Befugnisse für die aktive Bekämpfung von Cyberkriminellen und kriminellen Plattformen im Darknet einräumen. So soll künftig für Ermittler auch die Übernahme und Weiterführung von digitalen Identitäten zur Aufdeckung von Straftaten erlaubt sein. Bisher ist für solche Ermittlungsmethoden die ausdrückliche Zustimmung des Account-Inhabers erforderlich, der die Zugangsdaten für das entsprechende Konto aushändigt. Daneben sei eine Übernahme von Online-Konten laut Gesetzentwurf auch dann möglich, wenn Behörden die Login-Informationen im Rahmen von Ermittlungsmaßnahmen und Durchsuchungen erlangt haben.

Der Gesetzentwurf soll darüber hinaus die Bekämpfung illegaler Marktplätze im Darknet vereinfachen. Dabei zielt das Innenministerium darauf ab, die Betreiber solcher Plattformen zu kriminalisieren, die ein zweckgerichtetes Umfeld für die Begehung von Straftaten bereitstellen – unabhängig von einer konkreten Beteiligung an einzelnen kriminellen Handlungen.

Ausweitung der KRITIS-Sektoren

Zu den bereits definierten Kritischen Infrastrukturen soll im IT-SiG 2.0 nun auch die Abfallentsorgung hinzuzählen. Die sachgemäße Entsorgung und Verwertung von Siedlungsabfällen müsse aufgrund steigender Seuchengefahr und Umweltverschmutzung unbedingt sichergestellt werden, heißt es im Gesetzentwurf dazu. Der Ausfall der Abfallwirtschaft würde eine unmittelbare und auch langfristige gesundheitliche Gefährdung der Bevölkerung darstellen.

Nicht direkt zu den KRITIS-Sektoren hinzugehörend aber trotzdem nach denselben Kriterien zu behandeln sind zudem die „Unternehmen im besonderen öffentlichen Interesse“. Hierzu zählen beispielsweise die Rüstungsindustrie, der Bereich Kultur und Medien sowie Unternehmen von erheblicher wirtschaftlicher Bedeutung.

Gesamtplan für Reaktionsmaßnahmen

Neu ist zudem der sogenannte Gesamtplan für Reaktionsmaßnahmen, der in Abstimmung mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und der jeweils zuständigen Aufsichtsbehörde des Bundes aufzustellen sind. Der Gesamtplan soll sämtliche Beteiligten bei Angriffen und schweren Ausfällen ermöglichen, schnell aufeinander abgestimmte Reaktionen einzuleiten, um die Versorgung von Bevölkerung und Gesellschaft aufrechtzuerhalten oder möglichst schnell wiederaufzubauen. Der erarbeitete Gesamtplan werde beständig “unter Berücksichtigung von Erkenntnissen aus bewältigten Krisen im Bereich der Sicherheit in der Informationstechnik sowie den Veränderungen des Stands der Technik und der Rechtslage überprüft und falls erforderlich angepasst”, heißt es hierzu im aktuellen Entwurf.

Technische Vorgaben an die IT-Sicherheit

Das derzeitige IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber dazu, ihre IT-Systeme nach dem Stand der Technik angemessen abzusichern. Diese offene Formulierung ergänzt das IT-SiG 2.0 mit konkreteren Vorgaben. Das BSI soll hierzu explizite Mindeststandards für die Absicherung der kritischen IT-Komponenten festlegen, die für den Betrieb erforderlich sind. Diese Komponenten sind zudem BSI-meldepflichtig und dürfen ausschließlich von Herstellern stammen, die eine Garantieerklärung gegenüber dem KRITIS-Betreiber abgegeben haben. Letztere soll die Einhaltung von Mindeststandards insbesondere aus sicherheitspolitischer Sicht gewährleisten und Schutz vor Sabotage, Spionage oder Terrorismus garantieren.

Außerdem legt der Gesetzentwurf konkret den Einsatz von SIEM-Lösungen (Security Incident & Event Management Systeme) fest, die für eine verlässliche Angriffserkennung erforderlich sind. Die mit den Systemen gesammelten Daten müssen für den Schutz vor Angriffen und für die Strafverfolgung an die zuständigen Behörden übermittelt werden.

Mehr Verbraucherschutz

Der Entwurf für das IT-SiG 2.0 beinhaltet auch Regularien für den digitalen Verbraucherschutz. So soll beispielsweise für Hersteller und Anbieter eine Kennzeichnung für die IT-Sicherheit von Produkten eingeführt werden. Verbraucherinnen und Verbraucher hätten dadurch eine einfache Möglichkeit, um zu prüfen, ob der jeweilige Hersteller beziehungsweise dessen Produkt die gängigen Standards für IT-Sicherheit und Datenschutz berücksichtigt. Die Einhaltung dieser Standards ist vom BSI in regelmäßigen Abständen zu prüfen. Eine Verpflichtung für die Hersteller zur Nutzung des IT-Sicherheitskennzeichens sieht der Entwurf hingegen nicht vor. Das Kennzeichen setzt sich unterdessen aus zwei Komponenten zusammen, der Herstellererklärung und einer begleitenden Sicherheitsinformation des BSI.

¹ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf;jsessionid=B346C3D60AAE672A67CFD6E5D42C1968.1_cid502?__blob=publicationFile&v=7

Sie werden angegriffen?