Lesezeit: .
Das IT-Sicherheitsgesetz soll eine große Aktualisierung erhalten, um den Vorgabenkatalog und auch das BSI selbst an die aktuelle Bedrohungslage anzupassen. Im Kern sieht der aktuelle Gesetzentwurf für das IT-SIG 2.0 eine aktive Schutzfunktion des BSI für Staat, Wirtschaft und Bevölkerung vor.


Das IT-Sicherheitsgesetz (IT-SiG) ist nun schon seit Juli 2015 gültig und stellt eine regulatorische Vorgabe für die Informationssicherheit in Unternehmen, Organisationen und Behörden dar. Beim IT-SiG handelt es sich um ein komplexes Artikelgesetz, das viele verschiedene Inhalte tangiert und neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz sowie weitere Gesetze ändert und ergänzt. Das regulatorische Werk zielt dabei auf nichts Geringeres ab, „als die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“¹.


Absicherung Kritischer Infrastrukturen
Im Fokus des IT-SiG steht die Absicherung Kritischer Infrastrukturen (KRITIS), die die deutsche Bevölkerung mit grundlegenden Gütern versorgen und damit zentral für das wirtschaftliche und soziale Wohlergehen unserer Gesellschaft verantwortlich sind. Als Betreiber Kritischer Infrastrukturen gelten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge Unternehmen aus den Bereichen Energie- und Wasserversorgung, Gesundheitswesen, Ernährungswirtschaft, Finanz- und Versicherungswesen, IT und Telekommunikation sowie auch Transport und Verkehr. Ferner soll das IT-Sicherheitsgesetz zu einer allgemeinen Verbesserung der Cybersecurity bei Unternehmen, Behörden und den Bürgerinnen und Bürgern des Landes beitragen.
Update für das IT-Sicherheitsgesetz
In seiner jetzigen Form dient das Gesetz als wichtiger Wegweiser der Cybersicherheit in der deutschen Gesellschaft. Aufgrund der technologischen Entwicklung und einer sich stetig ändernden Bedrohungslage muss aber auch das IT-Sicherheitsgesetz regelmäßig an die aktuellen Anforderungen angepasst und aktualisiert werden.
Daher hat das Innenministerium einen Gesetzentwurf (Stand: 07.05.2020) für ein runderneuertes IT-Sicherheitsgesetz (IT-SiG 2.0) vorgelegt, der mitunter die Zuständigkeiten und Befugnisse des BSI ausweiten soll und konkretere Vorgaben an die KRITIS-Betreiber richtet. Ebenfalls in dem Entwurf vorgesehen ist eine deutliche personelle Aufstockung des BSI um über 580 Planstellen. Die neuen Aufgabenbereiche erfordern zusätzliche Kapazitäten in Bonn.
Alle wesentlichen Neuerungen im IT-Sicherheitsgesetz finden Sie nachfolgend übersichtlich aufbereitet. Welche Maßnahmen konkret auf das BSI und die KRITIS-Betreiber zukommen, wird sich aber erst bei der finalen Verabschiedung des Gesetzestextes erweisen, mit der nicht vor Ende 2020 zu rechnen ist.
Aktive Cybersicherheit


Vergehen werden härter bestraft


Darknet & “Cybercrime as a Service” im Visier der Ermittler
Das überarbeitete IT-Sicherheitsgesetz will auch Strafermittlungsbehörden mehr Befugnisse für die aktive Bekämpfung von Cyberkriminellen und kriminellen Plattformen im Darknet einräumen. So soll künftig für Ermittler auch die Übernahme und Weiterführung von digitalen Identitäten zur Aufdeckung von Straftaten erlaubt sein. Bisher ist für solche Ermittlungsmethoden die ausdrückliche Zustimmung des Account-Inhabers erforderlich, der die Zugangsdaten für das entsprechende Konto aushändigt. Daneben sei eine Übernahme von Online-Konten laut Gesetzentwurf auch dann möglich, wenn Behörden die Login-Informationen im Rahmen von Ermittlungsmaßnahmen und Durchsuchungen erlangt haben.
Ausweitung der KRITIS-Sektoren
Nicht direkt zu den KRITIS-Sektoren hinzugehörend aber trotzdem nach denselben Kriterien zu behandeln sind zudem die „Unternehmen im besonderen öffentlichen Interesse“. Hierzu zählen beispielsweise die Rüstungsindustrie, der Bereich Kultur und Medien sowie Unternehmen von erheblicher wirtschaftlicher Bedeutung.
Gesamtplan für Reaktionsmaßnahmen
Neu ist zudem der sogenannte Gesamtplan für Reaktionsmaßnahmen, der in Abstimmung mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und der jeweils zuständigen Aufsichtsbehörde des Bundes aufzustellen sind. Der Gesamtplan soll sämtliche Beteiligten bei Angriffen und schweren Ausfällen ermöglichen, schnell aufeinander abgestimmte Reaktionen einzuleiten, um die Versorgung von Bevölkerung und Gesellschaft aufrechtzuerhalten oder möglichst schnell wiederaufzubauen. Der erarbeitete Gesamtplan werde beständig “unter Berücksichtigung von Erkenntnissen aus bewältigten Krisen im Bereich der Sicherheit in der Informationstechnik sowie den Veränderungen des Stands der Technik und der Rechtslage überprüft und falls erforderlich angepasst”, heißt es hierzu im aktuellen Entwurf.
Technische Vorgaben an die IT-Sicherheit
Das derzeitige IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber dazu, ihre IT-Systeme nach dem Stand der Technik angemessen abzusichern. Diese offene Formulierung ergänzt das IT-SiG 2.0 mit konkreteren Vorgaben. Das BSI soll hierzu explizite Mindeststandards für die Absicherung der kritischen IT-Komponenten festlegen, die für den Betrieb erforderlich sind. Diese Komponenten sind zudem BSI-meldepflichtig und dürfen ausschließlich von Herstellern stammen, die eine Garantieerklärung gegenüber dem KRITIS-Betreiber abgegeben haben. Letztere soll die Einhaltung von Mindeststandards insbesondere aus sicherheitspolitischer Sicht gewährleisten und Schutz vor Sabotage, Spionage oder Terrorismus garantieren.


Außerdem legt der Gesetzentwurf konkret den Einsatz von SIEM-Lösungen (Security Incident & Event Management Systeme) fest, die für eine verlässliche Angriffserkennung erforderlich sind. Die mit den Systemen gesammelten Daten müssen für den Schutz vor Angriffen und für die Strafverfolgung an die zuständigen Behörden übermittelt werden.