All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Compliance & Recht, Fachartikel

IT-SiG verabschiedet – was kommt auf uns zu?

IT-SiG verabschiedet – was kommt auf uns zu?

Der Deutsche Bundestag hat am 12. Juni 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG) abschließend beraten und mit großer Mehrheit angenommen. Allumfassend, wie es der Gesetzestitel nahelegt, ist dieses Gesetz aber nicht, sondern es nimmt im Kern nur die Betreiber kritischer Infrastrukturen stärker in die Pflicht. Diese müssen nach dem Gesetz künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Wie dieses Gesetz einzuschätzen ist und welche Hürden bei der Umsetzung zu überwinden sein werden, soll der nachfolgende Artikel beleuchten.

Die Informationstechnologie prägt seit Jahrzehnten die Unternehmen in immer stärkerem Maße und spätestens seit Mitte der 90-er Jahre kann man dies auch für das Internet feststellen. Dass das Internet somit schon lange kein „Neuland“ mehr für deutsche Unternehmen ist, dies hat nun mittlerweile auch die Bundesregierung erkannt. Praktisch kein Unternehmen ist heute mehr denkbar ohne eine gut funktionierende IT-Infrastruktur mit einer schnellen Internetanbindung und nicht wenige Unternehmen bauen sogar ihr gesamtes Geschäftsmodell auf einer Internetnutzung auf. Die Abhängigkeit von dieser IT-Infrastruktur ist also deutlich gewachsen, leider aber haben damit die notwendigen Sicherheitsvorkehrungen nicht annähernd Schritt gehalten. Wie aus einer Vielzahl von immer neuen Sicherheitsverletzungen und einschlägigen Studien hinlänglich bekannt ist, hat die Bedrohungslage mittlerweile ganz neue Dimensionen erreicht. Mit immer weiter verfeinerten Techniken werden Unternehmen auf IT-Ebene angegriffen. Die hierfür benötigten Tools gibt es weitgehend umsonst zur freien Nutzung aus dem Internet. Unternehmen mit laxen Sicherheitsvorkehrungen werden so ein leichtes Opfer und dort, wo es vermeintlich schwieriger wird, ist für Angreifer mit genügend Geld und Zeit immer ein Weg zu finden, Daten auszuspähen, Manipulationen vorzunehmen  oder Angriffe gegen die Verfügbarkeit durchzuführen. Welches Angriffsarsenal heute bereits möglich ist, haben exemplarisch die Snowden-Veröffentlichungen zur NSA gezeigt und besonders erschreckend für den Industriebereich der Stuxnet-Angriff auf die iranischen Atomanlagen von Natanz und Buschehr.

Nachdem der Gesetzgeber jahrelang wenig Initiative im Bereich der Informationssicherheit zeigte und auch das Bundesamt für Informationssicherheit (BSI) sich eher um den Ausbau seiner IT-Grundschutzaktivitäten kümmerte, ist man nun offensichtlich aufgewacht. Seit März 2013 (s. Abbildung-1) wurde mit mehreren Entwürfen und Beratungen ein IT-Sicherheitsgesetz (IT-SiG) vorangetrieben und am 12.06.2015 als „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ vom Bundestag verabschiedet. Das IT-SiG ist dabei aber kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen schon bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Mit dem IT-SiG soll eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können.

Erklärtes Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA). Besondere Aufmerksamkeit wird dabei dem Bereich der „Kritischen Infrastrukturen“ gewidmet. Da es hierfür bislang noch keine gesetzlich geregelte Definition gibt, ist eine nähere Begriffsbestimmung notwendig. Die Definition folgt im Grundsatz der innerhalb der Bundesregierung abgestimmten Einteilung Kritischer Infrastrukturen. Die Betreiber kommen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Nicht zu den vom BSIG adressierten Kritischen Infrastrukturen gehören die Verwaltung von Regierung und Parlament sowie die öffentliche Bundesverwaltung und die von ihr eingesetzte Technik (einschließlich der Technik, die im Auftrag der Bundesverwaltung betrieben wird). Als Spezialregelung gelten hier unter anderem die §§ 4, 5 und 8 des BSIG. Entsprechendes gilt für die Verwaltungen der Länder und Kommunen, für die der Bund keine Gesetzgebungskompetenz besitzt. Das Gleiche gilt für den Sektor Kultur und Medien, da auch hier die Gesetzgebungskompetenz überwiegend bei den Ländern liegt.

Die vom BSIG adressierten Kritischen Infrastrukturen müssen laut IT-SiG künftig einen Mindeststandard an IT-Sicherheit einhalten und zudem erhebliche IT-Sicherheitsvorfälle an das BSI melden. Der Schutz dieser, für den Fortbestand der Bundesrepublik Deutschland überlebenswichtigen Infrastrukturen, hat für den Gesetzgeber nun höchste Priorität und soll durch staatliche Vorgaben weiter vorangetrieben werden. Wie es in der Problembeschreibung als Einleitung zum Gesetzestext so schön heißt, habe man festgestellt, dass „das IT-Sicherheitsniveau bei Kritischen Infrastrukturen derzeit sehr unterschiedlich sei“. Eigentlich sollte diese Erkenntnis nicht so neu sein und es erstaunt schon, dass die Politik immerhin 14 Jahre nach 9/11 erkannt hat, dass z.B. Terroranschläge auf Kritische Infrastrukturen auch auf IT-Ebene machbar sind und größte Schäden anrichten könnten. 

                    

Abbildung-1: Erarbeitung des  IT-SiG

<< Erste < Vorherige Page 1 Page 2 Page 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Detlef Weidenhammer

Neue Anforderungen an Datensicherheit und Datenschutz für SAP-Nutzer

Der zentrale Knotenpunkt für Unternehmensprozesse und -daten ist in sehr vielen Organisationen das hauseigene ERP-System von SAP. Daran wird sich im Zuge einer weiteren Digitalisierung der Geschäftswelt nichts ändern, so das Ergebnis einer Erhebung von PAC unter 100 SAP-Verantwortlichen in...

Sicherheit von Android TLS-Implementierungen

In den letzten Jahren kam es vermehrt zu Angriffen auf architekturspezifische Schwachstellen der TLS-Zertfikatsinfrastruktur. CAs (Certificate Authorities) wie Comodo [1]oder DigiNotar [2] wurden durch Angreifer kompromittiert, die Anzahl an akzeptierten CAs in Betriebssystemen wird zunehmend...

Das IT-Sicherheitsgesetz tritt in Kraft

Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der Störung hinweisen. Erweitert werden mit Inkrafttreten des IT-Sicherheitsgesetzes außerdem die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Untersuchung der Sicher-heit von IT-Produkten sowie...

Sichere Integrationsinfrastruktur – der Einstieg

Beim Aufbau und Betrieb einer Plattform zur System- oder Prozessintegration stößt man auf verschiedene technische und organisatorische Probleme. In diesem Artikel soll zunächst einmal auf Grundlagen eingegangen werden, um die verschiedenen Herausforderungen – insbesondere auch zur...

Sicherheitsprüfungen bei Beschaffung und Betrieb von PDV-Systemen

Unsichere Netzwerkstruktur und Netzwerkschnittstellen Bei dem Design der Netze kann man sich auf publizierte und in der Praxis getestete Architekturen abstützen und dabei von den Erfahrungen anderer profitieren. Dennoch werden häufig bereits langjährig etablierte Schutzmaßnahmen nicht umgesetzt....

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...