Das IT-Sicherheitsgesetz ist im Juli 2015 in seiner ersten Fassung in Deutschland in Kraft getreten. Das Gesetz verpflichtet Betreibende von kritischen Infrastrukturen (KRITIS), ihre Anlagen und IT-Systeme gegen Cyber-Attacken zu schützen. Dabei wird ein Mindeststandard für die Sicherheit der entsprechenden IT-Infrastrukturen festgelegt. Die Einhaltung dieses Standards muss alle zwei Jahre durch die KRITIS-Unternehmen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Als kritische Infrastruktur gelten dabei Unternehmen und Einrichtungen mit besonderer Bedeutung für den Staat und die Gesellschaft. Ein Ausfall oder eine Beeinträchtigung dieser Infrastrukturen würde zu erheblichen Störungen des täglichen Lebens oder der öffentlichen Sicherheit führen:

Cyber-Attacken müssen durch die Betreibende der kritischen Infrastruktur an das BSI gemeldet werden. Das BSI ist verpflichtet, diese Meldungen auszuwerten, um Angriffsmuster abzuleiten und weitere gefährdete Unternehmen und Einrichtungen zu warnen. Zudem legt das Bundesamt für Sicherheit in der Informationstechnik jährlich einen Bericht zum Stand der IT-Sicherheit in Deutschland vor.

Das IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz wurde trotz vielfacher Kritik am 23.04.2021 in der Version 2.0 beschlossen. Welche neuen Pflichten auf Betreibende kritischer Infrastrukturen zukommen und was beispielsweise UNBÖFI sind, haben wir hier zusammengefasst.

Zusätzliche Pflichten für Betreibende kritischer Infrastrukturen sowie Hersteller von „kritischen Komponenten“ und neuer Sektor „Entsorgung“

• Zu den bestehenden Sektoren der kritischen Infrastrukturen wurde der Sektor Siedlungsabfallentsorgung hinzugefügt, für den (Stand heute) noch keine offiziellen Schwellenwerte definiert wurden.
• Zu den neuen Pflichten, die spätestens nach zwei Jahren bindend werden, gehören nun Systeme inklusive unterstützender Prozesse zur Angriffserkennung, die eine kontinuierliche Überwachung des Betriebs gewährleisten müssen.
• Einführung einer Meldepflicht für den Einsatz von kritischen Komponenten. Hierzu gehören Komponenten, die „in Kritischen Infrastrukturen eingesetzt werden und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“. Eine detailliertere Ausführung, was darunter zu verstehen ist, soll folgen.
• Hieraus ergeben sich weiterhin Pflichten für die Herstellung kritischer Komponenten. Hier muss im Rahmen einer Garantieerklärung gewährleistet werden, dass die Komponenten „über keine technischen Eigenschaften verfügen, die geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können“.

Senkung der Schwellenwerte und Erhöhung der Bußgelder

• Für viele Bereiche der kritischen Infrastrukturen wurden neue Schwellenwerte definiert sowie bereits bekannte Schwellenwerte geändert. So wurden beispielsweise die Schwellenwerte für Erzeugungsanlagen im Sektor Energie von 420 MW auf 36 MW reduziert.
• In §14 sind Geldbußen definiert, die für konkrete Fälle bis zu 2.000.000,- EUR vorsehen.

Einführung der UNBÖFI

• Neu zu den Bereichen, die zur Umsetzung von Security-Maßnahmen verpflichtet werden, gehören nun die UNBÖFI, das sind Unternehmen von besonderem öffentlichen Interesse
• Stand heute lassen sich hierunter folgende Gruppen festhalten:
  • Herstellung von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
  • Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal.
  • Betreibende von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfallverordnung.

Mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI)

• Dem BSI werden nun deutlich mehr Befugnisse sowie Aufgabenbereiche zugeteilt – hierfür wurden 800 neuen Stellen ausgeschrieben. Darunter fallen beispielsweise Aufgaben im Bereich des Verbraucherschutzes, erweiterte Beratungsfunktionen staatlicher Stellen oder die Erweiterung als zentrale Stelle für KRITIS-Betreiber und UNBÖFI. Weiterhin darf das BSI Daten zu Schadprogrammen, Lücken und Angriffen sammeln und diese analysieren. Hierzu können beispielsweise auch Auskünfte von Herstellenden verlangt werden. Ebenfalls soll durch Erweiterung vielfältiger Befugnisse der Schutz der Bundesnetze gestärkt werden.

IT-Sicherheitskennzeichen für IT-Produkte

• Herstellende von IT-Produkten haben gemäß §9c die Möglichkeit, beim BSI eine freiwillige IT-Sicherheitskennzeichnung zu beantragen. Dazu gehört einerseits die Erklärung durch die Herstellerin oder den Hersteller, die Eigenschaften zusichern, und anderseits eine Sicherheitsinformation des BSI. Weitere Details werden künftig vom BSI veröffentlicht.

Weitere Details gibt es unter anderem hier:

• KRITIS-Informationen für Betreiber Kritischer Infrastrukturen (openkritis.de)
• IT-Sicherheitsgesetz 2.0 verabschiedet: Alle relevanten Hintergründe und Kernpunkte des neuen Gesetzes und wie die Entwicklung weitergeht – Sichere Industrie (sichere-industrie.de)

Umsetzung des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz legt fest, welche Anforderungen Unternehmen und Einrichtungen umsetzen müssen, um ihre kritische Infrastruktur zu schützen. Dabei ist nicht nur die klassische Information Technology (IT) gemeint, sondern auch der Schutz der Operation Technology (OT), also der Produktionsumgebung. Die Konkretisierung der Maßnahmen, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen, erfolgt durch die Anwendung nationaler und internationaler Normen. Die Normenreihe ISO27000 legt dabei die Schutzziele für die IT fest, mit dem Schwerpunkt der Vertraulichkeitswahrung von Informationen. Für die Operation Technology beschreibt die Norm IEC62443 alle relevanten Anforderungen zur Vermeidung von Sicherheitsrisiken für Betreibende, Integratoren und Geräteherstellung, um die Verfügbarkeit der Anlagen zu sichern. 

Die Auswahl und Umsetzung von geeigneten Maßnahmen ist immer abhängig von der entsprechenden Applikation. Unsere Expertinnen und Experten unterstützen Sie bei der Erstellung einer individuellen Bedarfsanalyse, beim Design eines sicheren Netzwerkkonzepts sowie bei der Auswahl der richtigen Komponenten und der Schulung Ihrer Mitarbeitenden.

Weiterführende Informationen, die Sie interessieren könnten

9 zentrale Steps zur sicheren Anlage gemäß IEC 62443:

Holen Sie sich das zentrale Wissen „Wie sichere ich meine Anlage ganzheitlich?“, und zwar gemäß des Standards IEC 62443. Die einzelnen Schritte kompakt und verständlich von unseren ExpertInnen in Form eines Posters zusammengefasst.

Tipp: Auf Anfrage senden wir Ihnen auch gerne ein gedrucktes Exemplar gratis zu!

> Jetzt Poster gratis downloaden oder Print-Exemplar anfordern

Kompaktseminar 360°-Industrial-Security – jetzt online ansehen: Holen Sie sich zentrales Wissen direkt von unseren Expertinnen und Experten wie Sie Ihre Anlage umfassend schützen – kompakt, top aktuell und verständlich zusammengefasst.

> Zur Seminar-Aufzeichnung