Das „neue“ IT-Sicherheitsgesetz

Das vom Bundestag im Juli beschlossene IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015) ist am 24.07.2015 im Bundesgesetzblatt veröffentlich worden (BGBl I 2015, 1324) und am Folgetag in Kraft getreten. Durch das IT-Sicherheitsgesetz wird das BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik) angepasst und weitere Gesetze geändert. Ziel der Bundesregierung ist es, die IT-Sicherheit und wichtige Bereiche der Behörden und Wirtschaft zu stärken. Die wichtigsten Kernpunkte sind die Nachweise über präventive Maßnahmen zur IT-Sicherheit und die Meldepflicht bei IT-Sicherheitsvorfällen.

Um dies zu erreichen, wurden zunächst Aufgaben und Befugnisse des BSI neu geregelt sowie die Zuständigkeit des BKA erweitert. Zudem werden Betreiber kritischer Infrastrukturen verpflichtet, innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes angemessene organisatorische und technische Maßnahmen zum Schutz ihrer IT-Systeme zu treffen, ähnlich wie es aus den Datenschutzgesetzen bereits bekannt ist. Das Gesetz nennt hier „Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Informationstechnischen Systeme, Komponenten oder Prozesse“, welche „für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.“ Die Betreiber müssen dies durch Standardisierungen, Prüfungen, Zertifizierungen und Auditierungen erreichen und belegen. Die Erfüllung dieser Anforderungen müssen die Betreiber mindestens alle zwei Jahre nachweisen.

Kritische Infrastrukturen sind Einrichtungen wie Telekommunikationsunternehmen oder Energieversorger, Unternehmen aus den Bereichen Finanzen, Gesundheit oder Ernährung, Schifffahrt, Justizeinrichtungen, Regierung, Verwaltung, Logistik und noch weitere Branchen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Versorgung oder öffentliche Sicherheit haben. Eine genaue Definition der kritischen Infrastrukturen fehlt bisher, was zu einiger Kritik führte.

Das BSI wird durch das IT-Sicherheitsgesetz zur zentralen Meldestelle für IT-Sicherheitsvorfälle ausgebaut. Betreiber kritischer Infrastrukturen müssen ab sofort erhebliche IT-Sicherheitsvorfälle melden. Auch interne IT-Stellen des Bundes müssen Daten an das BSI übermitteln. Meldungen an das BSI werden von diesem zusammen mit dem Bundesamt für Verfassungsschutz zukünftig ausgewertet und analysiert. Hierdurch sollen potentielle Auswirkungen von Cyberattacken auf kritische Infrastrukturen besser eingeschätzt werden können.

Hierbei ist zu beachten, dass Betreiber kritischer Infrastrukturen die Meldungen unverzüglich an das BSI zu übermitteln haben. Die Meldung muss dabei Angaben zur Störung sowie den technischen Rahmenbedingungen enthalten. Hierzu gehören die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage sowie die Branche des Betreibers. Zudem muss eine Kontaktstelle eingerichtet werden, die vom BSI jederzeit zu erreichen ist. Verstöße gegen das BSI-Gesetz können mit einer Geldbuße von bis zu 100.000 € geahndet werden.

Die vom Bundesrat zuvor kritisierte Änderung des § 100 TKG, die den Telekommunikationsanbietern eine erweiterte Befugnis zur Erhebung und Verwendung von Bestands- und Verkehrsdaten zu Analysezwecken ermöglichen sollte, wurde dennoch beschlossen. Telekommunikationsanbieter können hiernach Daten erheben und verwenden, um Störungen zu erkennen, die theoretisch zu einer Einschränkung[nbsp] von Diensten oder zu einem unerlaubten Zugriff auf Systeme führen können. Dies kommt einer durch die Provider selbstständig und nach eigenem Ermessen durchzuführenden Vorratsdatenspeicherung gleich.

Kostenlose Anfrage stellen.

Sende uns eine Nachricht

8 + 0 = ?

Die mit einem * gekennzeichneten Felder sind Pflichtfelder und müssen ausgefüllt werden.

Kostenlose
Anfrage
stellen.

Sende uns eine Nachricht

2 + 2 = ?

Die mit einem * gekennzeichneten Felder sind Pflichtfelder und müssen ausgefüllt werden.