Management , Fachartikel

IT-SiG verabschiedet – was kommt auf uns zu?

IT-SiG verabschiedet – was kommt auf uns zu?

Der Deutsche Bundestag hat am 12. Juni 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG) abschließend beraten und mit großer Mehrheit angenommen. Allumfassend, wie es der Gesetzestitel nahelegt, ist dieses Gesetz aber nicht, sondern es nimmt im Kern nur die Betreiber kritischer Infrastrukturen stärker in die Pflicht. Diese müssen nach dem Gesetz künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Wie dieses Gesetz einzuschätzen ist und welche Hürden bei der Umsetzung zu überwinden sein werden, soll der nachfolgende Artikel beleuchten.

Die Informationstechnologie prägt seit Jahrzehnten die Unternehmen in immer stärkerem Maße und spätestens seit Mitte der 90-er Jahre kann man dies auch für das Internet feststellen. Dass das Internet somit schon lange kein „Neuland“ mehr für deutsche Unternehmen ist, dies hat nun mittlerweile auch die Bundesregierung erkannt. Praktisch kein Unternehmen ist heute mehr denkbar ohne eine gut funktionierende IT-Infrastruktur mit einer schnellen Internetanbindung und nicht wenige Unternehmen bauen sogar ihr gesamtes Geschäftsmodell auf einer Internetnutzung auf. Die Abhängigkeit von dieser IT-Infrastruktur ist also deutlich gewachsen, leider aber haben damit die notwendigen Sicherheitsvorkehrungen nicht annähernd Schritt gehalten. Wie aus einer Vielzahl von immer neuen Sicherheitsverletzungen und einschlägigen Studien hinlänglich bekannt ist, hat die Bedrohungslage mittlerweile ganz neue Dimensionen erreicht. Mit immer weiter verfeinerten Techniken werden Unternehmen auf IT-Ebene angegriffen. Die hierfür benötigten Tools gibt es weitgehend umsonst zur freien Nutzung aus dem Internet. Unternehmen mit laxen Sicherheitsvorkehrungen werden so ein leichtes Opfer und dort, wo es vermeintlich schwieriger wird, ist für Angreifer mit genügend Geld und Zeit immer ein Weg zu finden, Daten auszuspähen, Manipulationen vorzunehmen  oder Angriffe gegen die Verfügbarkeit durchzuführen. Welches Angriffsarsenal heute bereits möglich ist, haben exemplarisch die Snowden-Veröffentlichungen zur NSA gezeigt und besonders erschreckend für den Industriebereich der Stuxnet-Angriff auf die iranischen Atomanlagen von Natanz und Buschehr.

Nachdem der Gesetzgeber jahrelang wenig Initiative im Bereich der Informationssicherheit zeigte und auch das Bundesamt für Informationssicherheit (BSI) sich eher um den Ausbau seiner IT-Grundschutzaktivitäten kümmerte, ist man nun offensichtlich aufgewacht. Seit März 2013 (s. Abbildung-1) wurde mit mehreren Entwürfen und Beratungen ein IT-Sicherheitsgesetz (IT-SiG) vorangetrieben und am 12.06.2015 als „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ vom Bundestag verabschiedet. Das IT-SiG ist dabei aber kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen schon bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Mit dem IT-SiG soll eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können.

<< Erste < Vorherige 1 2 3 4 5 6 7 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Detlef Weidenhammer

Neue Anforderungen an Datensicherheit und Datenschutz für SAP-Nutzer

Der zentrale Knotenpunkt für Unternehmensprozesse und -daten ist in sehr vielen Organisationen das hauseigene ERP-System von SAP. Daran wird sich im Zuge einer weiteren Digitalisierung der Geschäftswelt nichts ändern, so das Ergebnis einer Erhebung von PAC unter 100 SAP-Verantwortlichen in...

Sicherheit von Android TLS-Implementierungen

In den letzten Jahren kam es vermehrt zu Angriffen auf architekturspezifische Schwachstellen der TLS-Zertfikatsinfrastruktur. CAs (Certificate Authorities) wie Comodo [1]oder DigiNotar [2] wurden durch Angreifer kompromittiert, die Anzahl an akzeptierten CAs in Betriebssystemen wird zunehmend...

Das IT-Sicherheitsgesetz tritt in Kraft

Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen. Erweitert werden mit Inkrafttreten des IT-Sicherheitsgesetzes außerdem die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicher-heit von IT-Produkten sowie...

Sichere Integrationsinfrastruktur – der Einstieg

Beim Aufbau und Betrieb einer Plattform zur System- oder Prozessintegration stößt man auf verschiedene technische und organisatorische Probleme. In diesem Artikel soll zunächst einmal auf Grundlagen eingegangen werden, um die verschiedenen Herausforderungen – insbesondere auch zur...

Sicherheitsprüfungen bei Beschaffung und Betrieb von PDV-Systemen

Unsichere Netzwerkstruktur und Netzwerkschnittstellen Bei dem Design der Netze kann man sich auf publizierte und in der Praxis getestete Architekturen abstützen und dabei von den Erfahrungen anderer profitieren. Dennoch werden häufig bereits langjährig etablierte Schutzmaßnahmen nicht umgesetzt....

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...