Skip to main content

 

last updated: January 2020


Aktueller Stand an der IT-Sicherheitsfront


Die letzte Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hat einen hohen Standard wichtige Infrastrukturen eingeführt. Dieser soll durch das in Planung befindliche IT-Sicherheitsgesetz 2.0 noch weiter erhöht werden.

The latest amendment to the Act on the Federal Office for Information Security (BSIG) has introduced a high standard for important infrastructures. This standard is to be increased even further by the German IT Security Act 2.


1. Umsetzung in den Unternehmen

Betreiber kritischer Infrastrukturen („KRITIS“) sind gem. § 8a Abs. 1 BSIG verpflichtet „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von Ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Ob ein Unternehmen als KRITIS einzustufen ist, bestimmt sich durch die BSI KritisV. Maßgebend hierfür ist die Überschreitung eines festgelegten Schwellenwertes.

KRITIS-Betreiber hatten ab Inkrafttreten der BSI‑KritisV zwei Jahre Zeit die Vorkehrungen nach dem Stand der Technik zu treffen. Die dafür maßgeblichen Fristen sind inzwischen abgelaufen. Aus dem Lagebericht des BSI über die IT-Sicherheit in Deutschland 2019 ergibt sich, dass die betroffenen Unternehmen sich intensiv mit dem Thema auseinandergesetzt haben. Insbesondere organisatorische Verbesserungen führten zu einer Verbesserung der IT-Sicherheit im Allgemeinen. Zu diesen Maßnahmen zählen v.a. die Einführung eines Informationssicherheitsmanagementssystems („ISMS“) und die Personalaufstockung der IT-Sicherheitsteams. Gerade die Implementierung eines ISMS wurde häufig durch externe Berater begleitet. Aber auch in technischer Hinsicht fand eine Verbesserung statt, z.B. wurde in vielen KRITIS-Anlagen alte Technik durch neue ersetzt. Insgesamt bescheinigt das BSI den KRITIS-Betreibern eine IT-Sicherheit auf hohem Niveau.


2. Nachweis der KRITIS-Anforderungen

Mit Ablauf der Umsetzungsfrist sowie alle folgenden zwei Jahre haben die KRITIS-Betreiber dem BSI die Erfüllung der Anforderungen nachzuweisen. Für die Folgenachweise bestimmt sich die 2-Jahresfrist taggenau anhand des Einreichungsdatums des vorigen Nachweises. Betreiber, die nunmehr erstmalig den KRITIS-Regelungen unterfallen, müssen die KRITIS-Verpflichtungen der §§ 8a, 8b BSIG zwar unverzüglich umsetzen, haben für den Nachweis der Umsetzung aber zwei Jahre Zeit.

Der Nachweis kann gem. § 8a Abs. 3 Satz 2 BSIG „durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen“. Beim BSI sind grundsätzlich aber nur die Ergebnisse der Prüfung einzureichen. Hierfür stellt das BSI auf ihrer Webseite entsprechende Nachweisformulare bereit. Der vollständige Prüfbericht ist nur auf Nachfrage des BSI vorzulegen. Ausschlaggebend für die Vorlage scheint u.a. auch die Qualifikation der Prüfer zu sein. Die Auswahl derselben liegt in der Verantwortung der KRITIS-Betreiber. Das BSI hat zum Erwerb der Prüfungskompetenz ein Schulungskonzept erarbeitet und empfiehlt den Prüfern den Besuch einer solchen Schulung. Auf seiner Webseite stellt das BSI eine Übersicht über qualifizierte Schulungsanbieter zur Verfügung. Die Ausgestaltung der Prüfung selbst obliegt dem Prüfer selbst. Besteht für das zu prüfende Unternehmen ein branchenspezifischer Sicherheitsstandard („B3S“) mit Eignungsfeststellung des BSI, so empfiehlt es sich, diesen als Prüfungsgrundlage heranzuziehen.


3. Stand der Technik und branchenspezifische Sicherheitsstandards

Was genau unter dem Stand der Technik zu verstehen ist, führen weder Gesetz noch die BSI KritisV oder die Gesetzesbegründung hinreichend aus.

Die vom Gesetzgeber gewünschte Erstellung von B3S dient dazu, dass einzelne Branchen ausgehend von der eigenen Expertise selber Vorgaben zum Stand der Technik formulieren. Auch wenn ein vorhandener B3S nicht zwingend einzuhalten ist, so gibt dieser dennoch gute Ansatzpunkte für betroffene Unternehmen und sorgt nicht zuletzt aufgrund der Tatsache, dass das BSI einen B3S auf seine Eignung prüft, für hinreichende Rechtssicherheit. Folgende B3S wurden vom BSI bisher als geeignet anerkannt:

 

„Verteilung von Fernwärme“ (gültig bis April 2021) und„Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen“ (gültig bis September 2020).

„Branchenstandard IT-Sicherheit Wasser/Abwasser“ (gültig bis Juni 2019; befindet sich zurzeit in Prüfung für eine weitere Gültigkeit).

„Sicherheitsstandard für die Ernährungsindustrie“ (gültig bis Januar 2021) und „B3S für den Lebensmittelhandel“ (gültig bis April 2020).

„Branchenspezifischer Sicherheitsstandard zur IT-Sicherheit“ (gültig bis Mai 2020).

„Branchenspezifischer Sicherheitsstand für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV)“ (gültig bis April 2021) und „B3S Allianz Deutschland AG 1.0“ (gültig bis April 2021).

„Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ (gültig bis 16.08.2021), „Branchenspezifischer Sicherheitsstandard Pharma“ (gültig bis Juli 2021) und „Branchenspezifischer Sicherheitsstandard für die Laboratoriumsdiagnostik“ (gültig bis März 2021).

„Branchenspezifischer Sicherheitsstandard für die Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr“ (gültig bis März 2021).

Im Verfahren der Eignungsprüfung befinden sich im Sektor Transport und Verkehr die B3S „B3S im Luftverkehr“; eingereicht vom Bundesverband der Deutschen Luftverkehrswirtschaft e.V. (BDL) und „B3S für Betreiber des ÖPNV und des Schienenverkehrs der Eisenbahn“; eingereicht vom Verband Deutscher Verkehrsunternehmen e.V. (VDV). In den anderen Sektoren liegen derzeit keine B3S zur Eignungsprüfung vor. Eine aktuelle Übersicht des in Arbeit befindlichen bzw. veröffentlichten B3S findet sich auf der Webseite des BSI.


4. Überarbeitung des IT-Sicherheitsgesetzes

Bereits im Koalitionsvertrag 2018 haben CDU, CSU und SPD beschlossen das IT-Sicherheitsgesetz weiterzuentwickeln. Der am 27.3.2019 vom BMI vorgelegte Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 liegt allerdings noch zur Abstimmung bei den anderen Ministerien und wurde bisher noch nicht in den Bundestag eingebracht.

Der Entwurf hat für viel Furore gesorgt; allein die Schaffung von mehr als 850 Planstellen beim BSI verdeutlicht die Dimension der geplanten Anpassung. Zu den wichtigsten Neuerungen zählen:

Die KRITIS-Sektoren werden um den Sektor „Entsorgung“ ergänzt. Die Funktionsfähigkeit der Entsorgung von Siedlungsabfällen ist nach Ansicht des Gesetzgebers eine kritische Dienstleistung, da ein Ausfall oder eine Beeinträchtigung dieser sowohl zu einem Anstieg der Seuchengefahr als auch zu einer gefährlichen Umweltverschmutzung führt. 

Bestimmte Komponenten, die dem Betrieb von KRITIS dienen, dürfen zukünftig von Herstellern nur dann verbaut werden, wenn für diese eine Vertrauenswürdigkeitserklärung abgegeben wurde, deren Mindestanforderungen wiederum vom BMI bestimmt werden. Diese Verpflichtung erstreckt sich ausdrücklich auf die gesamte Lieferkette des Herstellers.

Einführung einer neuen, KRITIS-ähnlichen Kategorie, für die ebenfalls die KRITIS-Verpflichtungen gelten (insb. Einhaltung technischer und organisatorischer Maßnahmen, Meldung von Störungen). Im Gegensatz zur KRITIS-Zuordnung sind hierfür nicht Versorgungsaspekte maßgeblich, sondern andere Gründe, wie z.B. die volkswirtschaftliche Bedeutung oder die öffentliche Sicherheit. Der neuen Kategorie unterfallen u.a. die Bereiche Chemie, Automobilherstellung, Rüstung und Kultur und Medien. Weitere Infrastrukturen im besonderen öffentlichen Interesse werden durch eine Rechtsverordnung konkretisiert.

Aufgrund der wachsenden Bedeutung der IT-Sicherheit für Verbraucher wird der Verbraucherschutz nun ausdrücklich als zusätzliche Aufgabe des BSI normiert. Im Rahmen dessen wird u.a. ein freiwilliges IT-Sicherheitskennzeichen eingeführt, das z.B. über einen QR Code weiterführende, aktuelle Informationen über die IT-Sicherheit des Produkts enthält (sog. Elektronischer Beipackzettel).

Die Kompetenzen des BSI werden deutlich ausgeweitet. Das BSI erhält die Befugnis nach Sicherheitsrisiken in IT-Systemen zu suchen (insb. auch in vernetzten Geräten, ICS- und IoT-Geräte), von Herstellern Auskünfte, insbesondere auch zu technischen Details, zu verlangen und Bestandsdaten von Telekommunikationsanbietern abzufragen.

Durch das IT-Sicherheitsgesetz 2.0 wird der Bußgeldrahmen von bisher maximal EUR 100.000 auf bis zu EUR 20 Mio. oder 4 % des Jahresumsatzes“ erhöht. Ausdrücklich der Begründung solle ein BSIG-Verstoß ebenso schwerwiegend sanktioniert werden können wie ein datenschutzrechtlicher Verstoß.

Ausblick

Die Rolle des BSI soll mit dem IT-Sicherheitsgesetz 2.0 weiter gestärkt werden. Geplant ist dieses Jahr den Entwurf in den Bundestag einzubringen.