Das IT-Sicherheitsgesetz (IT-SiG) ist ein zentraler Bestandteil der deutschen Gesetzgebung zur Verbesserung der Cybersicherheit. Es wurde 2015 verabschiedet und hat weitreichende Auswirkungen auf Unternehmen, Behörden und kritische Infrastrukturen. Ziel des Gesetzes ist es, den Schutz vor Cyberangriffen zu erhöhen und die Sicherheitstechnik informationstechnischer Systeme in Deutschland zu gewährleisten. Mit der Einführung des IT-Sicherheitsgesetzes wurde die Grundlage geschaffen, um den gestiegenen Anforderungen an IT-Sicherheit in einer zunehmend digitalisierten Welt gerecht zu werden.
Im Jahr 2021 wurde das IT Sicherheitsgesetz überarbeitet und erweitert, um den aktuellen Herausforderungen gerecht zu werden. Dieser Artikel bietet einen umfassenden Überblick über die wesentlichen Bestandteile der Cybersicherheitsrichtlinie, ihre Relevanz für Betriebe und öffentliche Einrichtungen sowie die Neuerungen, die mit der Version 2.0 der IT-Sicherheitsgesetzeslage eingeführt wurden.
Im Zuge der fortschreitenden Digitalisierung gewinnen Informationstechnik, Kommunikationstechnik und Cloud zunehmend an Bedeutung für die staatliche Verwaltung, die Wirtschaft und die Gesellschaft insgesamt. Die IT-Sicherheit bildet dabei einen zentralen Sicherheitsbegriff, der sich mit der Detektion von Gefährdungen und Gefahren sowie der Safety kritischer Systeme, Daten und Werte befasst.
Besonders im Bereich der KRITIS wird durch gesetzliche Verordnungen, wie dem IT-Sicherheitsgesetz (deutsches Recht), der NIS-Richtlinie und deren NIS2umsetzung, eine wirksame und strukturierte Umsetzung von Maßnahmen zur Betriebssicherheit angestrebt. Diese Anordnungen definieren eine klare Norm für IT-Management, technische und organisatorische Maßnahmen (TOMs) zu Sicherheiten sowie die Definition eines stabilen Zustands der informationstechnischen Systeme.
Zukünftig wird es darum gehen, wirtschaftliche Leistungen durch robuste Informationstechnologie und moderne Informatik nachhaltig abzusichern und somit den Zweck sicherer digitaler Infrastruktur nach dem Recht des IT-Sicherheitsgesetzes, dem Recht der Europäischen Union oder der Mitgliedstaaten langfristig zu gewährleisten.
1. Hintergrund und Zielsetzung deutscher Cyber Security Sicherheitsrichtlinien
Unternehmen, insbesondere solche, die als kritische Infrastrukturen gelten, müssen gemäß ITSIG und der europäischen NIS-Richtlinie sowie der neuen NIS2-Richtlinie (auch NIS-2 genannt) strenge Anforderungen informationstechnischer Sicherheit erfüllen. Diese EU-Richtlinie und das Sicherheitsgesetz für Informationsverarbeitung verpflichtet zur Implementierung geeigneter Risikomanagementmaßnahmen, um einem IT-Sicherheitsvorfall vorzubeugen.
Die Einrichtung wirksamer Schutzmechanismen ist essenziell, da die Verordnung klare Vorgaben zur Meldung und Behandlung von Sicherheitsvorfällen macht. Mit dem IT-Sicherheitsgesetz verfolgt die Bundesregierung das Ziel, die Informationssicherheit zu stärken. In der IT-Sicherheitsgesetzeslage sind vor allem Betreiber sogenannter kritischer Infrastrukturen (KRITIS) im Fokus. Sicherheitsrelevante Einrichtungen sind Sektoren, die für das Funktionieren der Gesellschaft unerlässlich sind. Zur KRITIS-Verordnung zur IT-Sicherheit gehören unter anderem:
- Energieversorgung
- Wasserversorgung
- Gesundheitswesen
- Informationstechnik und Telekommunikation
- Finanz- und Versicherungswesen
- Transport und Verkehr
- Ernährung
Die Grundidee der Rechtsvorschrift und Gesetz zur Sicherheit ist es, diese Sektoren gegen Cyberbedrohungen abzusichern, da ein erfolgreicher Angriff auf sicherheitssensible Anlagen erhebliche Folgen auf die gesamte Gesellschaft haben kann. Mit der IT-Sicherheitsverordnung wurde erstmals eine gesetzliche Verpflichtung zur Netzwerksicherheit und Sicherung für KRITIS-Betreiber dieser Schlüsselbereich eingeführt.
2. Die Anforderungen an Betreiber zur Sicherung und Sicherheit kritischer Infrastrukturen
Betreiber essentieller Schlüsselinfrastrukturen sind laut IT-Sicherheitsgesetz dazu verpflichtet, ihre IT-Systeme und Prozesse so abzusichern, dass sie den aktuellen Bedrohungen gewachsen sind. Konkret bedeutet diese Sicherung, dass sie:
- Mindestanforderungen an Informationsicherheit einhalten müssen. Diese Aufgaben zur Informationssicherheit werden von der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mit IT-Sicherheitsgesetzesvorgaben festgelegt.
- Angriffe auf ihre IT-Systeme (IT-Sicherheitsvorfall) unverzüglich an das BSI melden müssen. Der Sinn dieser Meldepflicht zur Sicherheit von IT-Systemen ist es, ein schnelleres und koordinierteres Vorgehen gegenüber Cyberangriffe zu ermöglichen.
- Regelmäßige Sicherheitsüberprüfungen durchführen und den Ämtern nachweisen müssen, dass ihre Sicherheitsmaßnahmen gem. Sicherheitsgesetz für Cyber-Resilienz von IT-Systemen wirksam sind.
KRITIS-Betreiber, die diesen Verpflichtungen bei einem IT-Sicherheitsvorfall gem. Sicherheitsgesetz für Resilienz nicht nachkommen (IT-Sicherheitsgesetzesverstoß), müssen mit empfindlichen Strafen rechnen, die bis zu einer Million Euro betragen können. Diese strikten Vorgaben des IT-Sicherheitsgesetzeswerkes sollen sicherstellen, dass essentielle Versorgungsstrukturen umfassend gegen Cybergefahren abgesichert werden.
3. Erweiterung mit dem Security- und IT-Sicherheitsgesetz 2.0
Mit dem im Jahr 2021 in Kraft getretenen Security- und IT-Sicherheitsgesetz 2.0 wurden die Regelungen der ursprünglichen Sicherheit Gesetzgebung weiter verschärft und ausgeweitet. Zu den wichtigsten Neuerungen der IT-Sicherheitsgesetzgebung zählen:
a) Ausweitung des KRITIS-Kreises
Das IT-Sicherheitsgesetz 2.0 erweitert den Kreis der betroffenen Firmen. Nun zählen auch Organisationen aus den Bereichen Abfallwirtschaft, Rüstung und bestimmte Mittelstandsunternehmen, die eine besondere Bedeutung für die nationale Security haben, zu den Betreibern risikorelevanter Versorgungssysteme gem. Sicherheitsgesetz zum proaktiv Absichern der Infrastruktur eines Unternehmens.
b) Einführung der „Unternehmen im besonderen allgemeinen Interesse“ in den IT-Sicherheitsgesetzesvorgaben
Neben den Betreibern sicherheitsabhängiger Infrastrukturen wurden per Sicherheitsgesetz der Security für Netzwerk, sichere Geräte und E-Mails, Richtlinie und Cybersecurity-Gesetz auch sogenannte UBÖI in den Fokus genommen. Hierzu zählen im IT-Sicherheitsgesetzeswerk Einrichtungen, die:
- Ein besonders hohes wirtschaftliches Potenzial haben, wie beispielsweise große Security-, Sicherheits-, Rüstungsunternehmen oder Medienunternehmen mit hoher Reichweite.
- Eine große Relevanz für das Gemeinwohl haben, z. B. in der Rüstungsproduktion oder im Zahlungsverkehr.
Diese Gesellschaften müssen gem. Gesetz, ähnlich wie KRITIS-Betreiber, ihre Informationssicherheit und Computersicherheit nachweisen und Angriffe sowie Sicherheitsvorfälle auf die Organisation melden.
c) Erhöhte Befugnisse des BSI lt. IT-Sicherheitsgesetzgebung
Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem Informationssicherheitsgesetz erweiterte Befugnisse zur IT-Sicherheit erhalten. Es darf Beratungs- und Kontrollfunktionen ausüben und aktiv Sicherheitslücken in Informationssystemen aufspüren und die Verantwortlichen darauf hinweisen. In besonders kritischen Fällen kann das Bundesamt gem. IT-SIG zur Sicherheit sogar die Entfernung unsicherer Komponenten anordnen.
Darüber hinaus hat das BSI die Möglichkeit, eigene Maßnahmen zur Angriffserkennung und Abwehr der Bundesverwaltung zu entwickeln und einzusetzen. Das Sicherheitsgesetz zur Erhöhung der Cybersecurity für Verwaltungen stärkt die Position des Bundesamtes als zentrale Behörde (BSI) für IT-Grundschutz und ermöglicht es der Bundesregierung, mit der IT-Sicherheitsgesetzesvorschrift auf Gefahren flexibler zu reagieren.
d) Verschärfte Meldepflichten für Sicherheitsvorfälle
Die Meldepflichten für Sicherheitsvorfälle wurden mit dem IT-Sicherheitsgesetz 2.0 nochmals verschärft. Jetzt müssen Betreiberfirmen lebenwichtiger Infrastruktursysteme, UBÖI und Konzerne aus dem Rüstungssektor signifikante IT-Sicherheitsvorfälle unverzüglich an das BSI melden. Diese Pflicht der IT-Sicherheitsgesetzesnorm gilt auch für Anbieter digitaler Dienste.
e) Verbot von unsicheren Produkten
Eine weitere bedeutende Neuerung vom Sicherheitsgesetz gegen Cyberberohungen ist das Verbot bestimmter IT-Produkte, die als unsicher gelten. Die BSI Bundesbehörde kann nun bestimmte Produkte auf eine „Schwarze Liste“ setzen, wenn diese schwerwiegende Sicherheitslücken für die Datensicherheit der Information Technology aufweisen und potenziell eine Gefahr für die informationstechnische Systemsicherheit und IT-Grundschutz vom BSI darstellen. Die IT-Sicherheitsgesetzeskraft betrifft vor allem Ausstattungen und Ressourcen, die im Bereich sicherheitsempfindlicher Versorgungssysteme eingesetzt werden.
4. Auswirkungen des IT Security- und Sicherheitsgesetzes
Für Unternehmungen, die nicht zu den Betreibern schutzbefürftiger Infrastrukturen oder UBÖI gehören, sind die Konsequenzen des Gesetzes zur Sicherheit und IT-Rahmengesetzes in erster Linie indirekt. Trotzdem sollte auch der Mittelstand die Vorgaben der Rechtsnorm und IT-Sicherheitsgesetzesregelung zur Cybersecurity ernst nehmen, da die allgemeine Bedrohungslage im Bereich Cyberkriminalität stetig zunimmt.
Auch kleinere und mittelständische Unternehmer (KMU) können Opfer von Cyberangriffen werden und sollten daher entsprechende Sicherheitsmaßnahmen zur Cyberabwehr ergreifen. Die NIS2-Richtlinie und das IT Sicherheitsgesetz geben verschiedene Initiativen und Förderprogramme, die KMU dabei unterstützen, ihre IT-Sicherheitsinfrastruktur zu verbessern.
Die Entwicklung moderner Technologien, hauptsächlich in den Bereichen Informationstechnik, Informatik und Elektrotechnik, hat tiefgreifende Auswirkungen auf Wirtschaftsschutz, Staat, Länder und Kommunen. Durch die zunehmende Vernetzung und den Einsatz von Tools wie künstlicher Intelligenz werden Anwendungen und Techniken geschaffen, die Verbindungen und Funktionen ermöglichen.
Software und digitale Lösungen revolutionieren die Pflege von Informationen und der Datenverarbeitung, während Verordnungen und Gesetze auf Bundes- und Länderebene den rechtlichen Rahmen setzen (Sicherheitsgesetz). Im Zusammenhang mit der Infrastruktur und der Informations- und Kommunikationstechnik fördern Forschung und Wissenschaft die Weiterentwicklung sicherster IT-Anlagen und IT-Sicherheit, um Kriminalität und Verbrechen online im Internet zu bekämpfen. User profitieren von Downloads, Service und verbesserten Kompetenzen, die die Bedeutungen technischer Werkzeuge der verschiedenen Bereiche unterstreichen.
5. Herausforderungen und Kritik am NIS-2- und IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz (IT-Sig) ist zweifellos ein notwendiger Schritt zur Verbesserung der Cyber Security. Allerdings gibt es auch einige Schwierigkeiten und Kritikpunkte, die beachtet werden müssen:
- Hohe Kosten: Die Umsetzung IT-Sicherheitsgesetzes, speziell für KRITIS-Betreiber, kann mit erheblichen Investitionen verbunden sein. Besonders Kleinunternehmen haben Schwierigkeiten, die geforderten Schutzmaßnahmen finanziell zu stemmen.
- Technologische Überforderung: Viele KRITIS-Unternehmen verfügen nicht über das notwendige Know-how, um die geforderten Sicherheitsstandards eigenständig zu erfüllen. Dies führt zu einem verstärkten Bedarf an externer Beratung, was ebenfalls teuer werden kann.
- Datenschutz vs. Sicherheitsanforderungen: Ein weiterer Kritikpunkt ist der potenzielle Konflikt zwischen Datenschutzanforderungen und den Anzeigepflichten des IT-Schuzgesetzes. Kritiker befürchten, dass mit den umfangreichen Informationspflichten der IT-Sicherheitsgesetzespflicht die Privatsphäre von Nutzern und Kunden beeinträchtigt werden könnte.
- Effektivität der Regelungen: Obwohl das Netzwerksicherheitsgesetz strikte Richtlinien macht, bleibt die Frage, wie effektiv diese in der Praxis umgesetzt werden. Vordergründig die Durchsetzung der Offenlegungspflichten und die Kontrolle der Sicherheitsstandards könnten in der Praxis auf Schwierigkeiten stoßen.
6. Physische Security und Reinigung der Informationstechnik
Neben informationstechnischer Absicherung gem. IT Sicherheitsgesetz spielt auch die physische Safety eine entscheidende Rolle im Rahmen des IT-Sicherheitsgesetzes. Informationssysteme, Technik, Serverräume und Netzwerkinfrastrukturen müssen vor unbefugtem physischen Zugriff geschützt werden. Dies umfasst Präventionsmaßnahmen wie Zutrittskontrollen, Überwachungskameras, Alarmanlagen und spezielle Sicherheitszonen. Solche Vorkehrungen verhindern Diebstahl und schützen auch vor Sabotage und physischen Manipulationen an Hardware.
Das Cybersicherheitsstärkungsgesetz, die KRITIS-Verordnung und das NIS2UmsuCg setzen wichtige Standards für die Netzwerk- und Cyber-Sicherheit und Kommunikationsinfrastrukturen. Mit dem IT Sicherheitsgesetz (ITSig) wird die Resilienz gegen Cyber-Bedrohungen wie Ransomware, Malware und die Ausnutzung von Schwachstellen gestärkt.
Die Einführung von IT-Sicherheitsgesetzeswirkung, Best Practices für System- und Datensicherheit sowie die Förderung von Resilience sind essenziell, um Information Technology, Benutzer, Computer und Programme der Informatik zu schützen. Besonders in Cloud-Umgebungen und großen Netzen ist eine nachhaltige Unterstützung durch Cybersecurity entscheidend, um Attacken abzuwehren und die System- und Datensicherheit digital sicherzustellen.
Darüber hinaus ist die Reinigung der Informationstechnik und Technik von großer Tragweite. Staub, Schmutz und andere Umwelteinflüsse beeinträchtigen die Funktionstüchtigkeit von Servern, Computern und Netzwerkausrüstung und führen langfristig zu Ausfällen. Eine professionelle IT-Reinigung gewährleistet nicht nur den störungsfreien Betrieb der Systeme, sondern trägt auch zur Langlebigkeit der Hardware bei.
Diese oft unterschätzte Maßnahme ist eine ergänzende Schutzvorkehrung zur technischen und organisatorischen IT-Sicherheit, die im Einklang mit den Bestimmungen der Telekommunikations- und Datensicherheitsrichtlinie steht und die Gesamtsicherheit der Schlüsselstrukturen des Gesetzes unterstützt.
7. Fazit: Die Bedeutung der IT-Sicherheitsgesetze (ITSig) und IT-Sicherheitsstandards
Das IT-Sicherheitsgesetz (ITSig), IT-Sicherheitsstandards und die Erweiterung sind wichtige Instrumente, um die Cybersicherheit der Informationstechnik zu stärken. Mittels eindeutiger Vorschriften an Verantwortliche schutzwürdiger Infrastrukturen im besonderen öffentlichen Interesse trägt das Gesetz dazu bei, die Computersysteme in zentralen Bereichen des gesellschaftlichen Lebens und der Wirtschaft widerstandsfähiger gegenüber Cyberangriffen zu machen.
Für Wirtschaftsunternehmen bedeutet das IT Sicherheitsgesetz jedoch auch, dass sie verstärkt in ihre IT-Sicherheitsmaßnahmen investieren müssen. Angesichts der zunehmenden Bedrohungen aufgrund von Cyberkriminalität ist dies jedoch nicht nur eine gesetzliche Verpflichtung, sondern auch eine wichtige Investition in die eigene Betriebssicherheit und Wettbewerbsfähigkeit.
Wirtschaft und Behörden sollten die IT-Gesetzgebung als Chance betrachten, ihre IT-Infrastrukturen zu modernisieren und vor zukünftigen Gefährdungen abzusichern. Mit den richtigen Security-Maßnahmen und einer umfassenden Sicherheitsstrategie werden sie den gesetzlichen Bedingungen gerecht und stärken das Vertrauen ihrer Kunden und Partner.
Die fortschreitende Digitalisierung und die damit einhergehenden Risiken machen das IT-Sicherheitsgesetz zu einem unverzichtbaren Bestandteil der deutschen Sicherheitsarchitektur, der auch in Zukunft weiterentwickelt und an neue Komplexitäten angepasst werden muss.
Die fortschreitende Digitalisierung stellt sowohl Chancen als auch ein wachsendes Risiko für alle Sektoren der Industrie dar, was eine tiefgreifende Transformation bestehender Strukturen erforderlich macht. In verschiedenen Branchen und Bereichen werden durch neue Gesetze, wie dem IT-Sicherheitsgesetz und der zweiten NIS-Richtlinie (NIS2umsucg), klare Regeln, Normen und Sicherheitsvorgaben gesetzt, um einen gesicherten Zustand informationstechnischer Anlagen im Internet zu gewährleisten.
Die Verordnung und der rechtliche Rahmen des IT-Sicherheitsgesetzes und der Schutzmaßnahmen sind fest in der deutschen Rechtsordnung verankert, wobei das Gesetz nicht nur technische Sicherheitsbedingungen, sondern auch organisatorische Systemsicherheitsmaßnahmen wie Schulungen und die Stärkung von Rechten und Pflichten umfasst. Ziel dieser Gesetzes-Initiativen ist es, durch präzise definierte Rechts-Grundlagen den sicheren Austausch sensibler Informationen zu fördern. Damit wird das Fundament für ein widerstandsfähiges Gemeinwesen gesetzt.
Glossar zum Sicherheitsgesetz (IT-Sig) und NIS2 Norm
IT (Informationstechnologie) umfasst die Nutzung von Computern, Netzwerken, Software und digitalen Systemen zur Speicherung, Verarbeitung, Übertragung und Sicherung von Daten. Sie ist ein zentraler Bestandteil moderner Arbeits- und Lebenswelten und bildet die Grundlagen für Techniken wie Datenbanken, Cloud-Systeme, Künstliche Intelligenz und Netzwerkinfrastrukturen. IT wird in nahezu allen Branchen eingesetzt, um Prozesse zu automatisieren, Informationen bereitzustellen und die Kommunikation zu erleichtern.
Datensicherheit oder Network Security bezeichnet den IT-Schutz von Netzwerksystemen, Netzwerken und Datensätze vor unbefugtem Zugriff, Manipulation, Diebstahl oder Zerstörung. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, das Schutzniveau und die Belastbarkeit von Systemen sicherzustellen (Zugriffskontrolle). Dies wird mit Firewalls, Verschlüsselung, regelmäßige Updates, Zugriffskontrollen und Sicherheitsrichtlinien erreicht, um Unsicherheiten wie Cyberangriffe, Viren oder Datenlecks abzuwehren.
Ein Gesetz ist eine verbindliche Regelung, die von einer gesetzgebenden Instanz, wie einem Parlament, erlassen wird und das Verhalten von Personen, Organisationen oder staatlichen Institutionen regelt. Es dient dazu, Ordnung zu schaffen, Rechte und Pflichten festzulegen und das Zusammenleben in einer Gemeinschaft zu strukturieren. Rechtsverordnungen sind schriftlich fixiert und müssen eingehalten werden; Verstöße ziehen rechtliche Konsequenzen nach sich.
Sicherheit im Kontext von Gesetzen, wie etwa dem IT Sicherheitsgesetz (IT-Sig) und BSI-Gesetz (BSIg), zielt darauf ab, Informationssicherheit und Schutz vor Gefahren in der digitalen und physischen Welt zu gewährleisten. Das Gesetz zur Sicherheit regelt die Umsetzung von Maßnahmen zur Network Security, den Umgang mit IT-Sicherheitsvorfällen sowie Informationssicherheit vor Cyber-Bedrohungen wie Schadprogrammen.
Die BSI-Kritisverordnung legt Cyber- und Sicherheitsstandards für kritische Strukturen fest, um deren Funktionsfähigkeit zu sichern. Neben der informationstechnischen Sicherheit spielen auch Bereiche wie Brandschutz, Sicherheitstechnik und Arbeitssicherheit eine Rolle, um an jedem Standort – von elektronischen Systemen bis hin zu physischen Anlagen – umfassende Verteidigung zu bieten. Meldestellen und Sicherheitsdienste unterstützen dabei, Vorfälle frühzeitig zu erkennen und die Einhaltung von Gesetzesvorgaben sicherzustellen.
NIS zwei (Network and Information Systems) bezieht sich auf die Sicherheit und Widerstandsfähigkeit von Netzwerken und Informationssystemen, schwerpunktmäßig im Zusammenhang mit kritischen Infrastrukturen. Die NIS-Richtlinie (NIS2) der EU (Network and Information Security Directive) legt Mindeststandards für Cybersicherheit fest, um Unternehmen und öffentliche Einrichtungen vor Cyberbedrohungen zu schützen und die digitale Resilience zu stärken.
Sicherheitsvorfälle sind unerwartete Ereignisse oder Angriffe, die die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen, Daten oder Netzwerken gefährden. Zum IT-Sicherheitsvorfall gehören Cyberangriffe wie Phishing, Malware-Infektionen, Datenlecks oder unbefugte Zugriffe. Sicherheitsvorfälle entstehen durch informationstechnische Schwachstellen, menschliche Fehler oder gezielte Angriffe. Eine schnelle Erkennung, Analyse und Reaktion ist essenziell, um Schäden zu minimieren und die Informationssicherheit wiederherzustellen.
IT-Management ist ein notwendiger Begriff, wenn es um die Gesetze zur Security und Resilience kritischer Infrastrukturen Branchen geht. Die NIS-2-Richtlinie, als zweite europäische Version der NIS-Regelungen, setzt den Stand der Technik für Cybersecurity und Datensicherheit in der Verwaltung um. Mit IT-Grundschutz werden schützenswerte EDV-Systeme vor Bedrohung wie Malware, Phishing und Hacker Aktivitäten geschützt.
Firewall, sichere Benutzerkonten, starke Passwörter und das Schließen der Fenster und Türen im digitalen Raum sind essenzielle Maßnahmen. Unternehmen müssen ihre Basis gegen unautorisierte Aktivitäten verteidigen und sich mit technisch modernen Mitteln absichern, um sich mit Cyber-Sicherheit vor Viren zu schützen.
Links