Das IT-Sicherheitsgesetz: Ein Leitfaden für Unternehmen und Behörden

Sicherheitsgesetz

Das IT-Sicherheitsgesetz (IT-SiG) ist ein zentraler Bestandteil der deutschen Gesetzgebung zur Verbesserung der Cybersicherheit. Es wurde 2015 verabschiedet und hat weitreichende Auswirkungen auf Unternehmen, Behörden und kritische Infrastrukturen. Ziel des Gesetzes ist es, den Schutz vor Cyberangriffen zu erhöhen und die Sicherheitstechnik informationstechnischer Systeme in Deutschland zu gewährleisten. Mit der Einführung des IT-Sicherheitsgesetzes wurde die Grundlage geschaffen, um den gestiegenen Compliance-Vorgaben in einer zunehmend digitalisierten Welt gerecht zu werden.

Im Jahr 2021 wurde das IT Sicherheitsgesetz überarbeitet und erweitert, um den aktuellen Herausforderungen der Informationssicherheit für IT-Betriebsumgebungen gerecht zu werden. Dieser Artikel bietet einen umfassenden Überblick über die wesentlichen Bestandteile der Cybersicherheitsrichtlinie, ihre Relevanz für Betriebe und öffentliche Einrichtungen sowie die Neuerungen, die mit der Version 2.0 der IT-Sicherheitsgesetzeslage eingeführt wurden.

Im Zuge der fortschreitenden Digitalisierung gewinnen Versorgungsnetze, Kommunikationstechnik und Cloud zunehmend an Bedeutung für die staatliche Verwaltung, die Wirtschaft und die Gesellschaft insgesamt. Die Risikoabwehr bildet dabei einen zentralen Sicherheitsbegriff, der sich mit der Detektion von Gefährdungen und Gefahren sowie der Safety systemrelevanter Systeme und Werte befasst.

Besonders im Bereich der KRITIS wird durch gesetzliche Verordnungen, wie dem IT-Sicherheitsgesetz (deutsches Recht), der NIS-Richtlinie und deren NIS2umsetzung, eine wirksame und strukturierte Umsetzung von Vorgehensweisen zur Betriebssicherheit angestrebt. Diese Anordnungen definieren eine klare Norm für IT-Management, technische und organisatorische Maßnahmen (TOMs) zu Sicherheiten sowie die Definition eines stabilen Zustands der informationstechnischen Systeme.

Zukünftig wird es darum gehen, wirtschaftliche Leistungen durch robuste Informationstechnologie und moderne Informatik nachhaltig abzusichern und somit den Zweck sicherer digitaler Infrastruktur gem. der NIS2-Umsetzung, der Europäischen Union oder der Mitgliedstaaten langfristig zu gewährleisten.

Die IT-Sicherheitsbehörde handelt auf Grundlage des BSIG als zuständiges Bundesamt, um die Pflichten zur Absicherung stabilitätskritischer Grundversorgungssysteme und öffentlicher Unternehmen nach dem Gesetzesauftrag umzusetzen.

 

Hintergrund und Zielsetzung deutscher Cyber Security Sicherheitsrichtlinien

Das IT-Sicherheitsgesetz ergänzt das BSI-Gesetz und stellt besondere Kriterien an Betreiber von KRITIS-Anlagen. Ziel ist es, kritische Unternehmen und KRITIS-Betreiber durch klare Aufgaben und die Einführung von Systemen zur Angriffserkennung sowie zum Management von Störungen zu schützen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Meldestelle und überwacht die Umsetzung der KRITIS-Verordnung, inklusive definierter Schwellenwerte und Normanforderungen an Berechtigungen, Komponenten, Zertifizierung und Prüfung. Die Regulierung berücksichtigt auch Cyber- Sicherheitsaspekte, steht in enger Verbindung zur DSGVO sowie zur NIS2-Umsetzung (NIS2) und schafft so ein international abgestimmtes Regelwerk.

Unternehmen, insbesondere solche, die als kritische Infrastrukturen (KRITIS) gelten, müssen gemäß ITSIG und der europaweit gültigen NIS-Richtlinie sowie der neuen NIS2-Richtlinie (auch NIS-2 genannt) strenge Anforderungen informationstechnischer Sicherheit erfüllen. Diese EU-Richtlinie und die KRITIS-Regulierung für Informationsverarbeitung verpflichtet zur Implementierung geeigneter Risikomanagementmaßnahmen, um einem IT-Sicherheitsvorfall vorzubeugen.

Die Einrichtung wirksamer Schutzmechanismen ist essenziell, da die Verordnung der IT-Sicherheitsnorm klare Vorgaben zur Meldung und Behandlung von Sicherheitsvorfällen macht. Mit dem IT-Sicherheitsregelwerk verfolgt die Bundesregierung das Ziel, das Risikomanagement zu stärken. In der IT-Sicherheitsgesetzeslage sind vor allem Betriebsverantwortliche sogenannter kritischer Systeminfrastrukturen (KRITIS) im Fokus. Sicherheitsrelevante Einrichtungen sind Sektoren, die für das Funktionieren der Gesellschaft unerlässlich sind. Zur KRITIS-Verordnung zu Sektor- und IT-Schutzmaßnahmen gehören unter anderem:

  • Energieversorgung
  • Wasserversorgung
  • Gesundheitswesen
  • Datenverarbeitungssysteme und Telekommunikation
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Ernährung

Die Grundidee der Rechtsvorschrift und Gesetz des IT-Schutzregelwerkes für Elektronik- und KRITIS-Einrichtungen ist es, diese KRITIS-Sektoren gegen Cyberbedrohungen abzusichern, da ein erfolgreicher Angriff auf sicherheitssensible Anlagen erhebliche Folgen auf die gesamte Gesellschaft haben kann. Mit der IT-Sicherheitsverordnung wurde erstmals eine gesetzliche Verpflichtung zur Netzwerksicherheit und Sicherung dieses Schlüsselbereichs eingeführt.

Die Cyber-Sicherheitsbehörde ist das zuständige Bundesamt, das gemäß den Leitlinien des Gesetzes die Betreiberpflichten zur Stabilisierung von kritischen Systemlandschaften und öffentlichen Unternehmen überwacht.

 

Die Schutzanforderungen hochrelevanter Infrastrukturen

Das IT-Sig als Ergänzung zum BSIG schreibt Betreibern von KRITIS-Anlagen rechtsverbindlich vor, in versorgungsrelevanter Infrastruktur besondere Umsetzungsmaßnahmen zur Gefahrenabwehr ihrer KRITIS-Systeme umzusetzen. Dazu gehören unter anderem Angriffserkennung, ein wirksames ISMS, klare Aufgaben für Mitarbeiter, sowie Maßgaben zu Berechtigungen und sicherheitsrelevanten Komponenten.

Auch Aspekte des Datenschutz müssen dabei berücksichtigt werden. Durch die KRITIS-Verordnung und die laufende NIS2-Umsetzung (NIS2) wird die Regulierung weiter konkretisiert und international harmonisiert.

Betreiber essentieller Schlüsselinfrastrukturen sind laut IT-Sicherheitsgesetz dazu angehalten, ihre IT-Systeme und Prozesse so abzusichern, dass sie den aktuellen Bedrohungen gewachsen sind. Konkret bedeutet diese Sicherung, dass sie:

  • Mindestanforderungen an Informationsicherheit einhalten müssen. Diese Aufgaben werden von der Bundesnetzagentur und dem BSI mit IT-Sicherheitsgesetzesvorgaben festgelegt.
  • Angriffe auf ihre IT-Systeme (IT-Sicherheitsvorfall) unverzüglich an das BSI melden müssen. Der Sinn dieser Meldepflicht zur Absicherung von IT-Systemen ist es, ein schnelleres und koordinierteres Vorgehen gegenüber Cyberangriffe zu ermöglichen.
  • Regelmäßige Sicherheitsüberprüfungen durchführen und den Ämtern nachweisen müssen, dass ihre Sicherheitsmaßnahmen gem. Sicherheitsvorschrift für Cyber-Resilienz von IT-Systemen wirksam sind.

KRITIS-Betreiber, die diesen Verpflichtungen bei einem IT-Sicherheitsvorfall gem. Sicherheitsregulierung für Resilienz nicht nachkommen (IT-Sicherheitsgesetzesverstoß), müssen mit empfindlichen Strafen rechnen, die bis zu einer Million Euro betragen können. Diese strikten Pflichtvorgaben des IT-Sicherheitsgesetzeswerkes sollen sicherstellen, dass essentielle Versorgungsstrukturen, Elektronik- und Netzwerktechnik umfassend gegen Cybergefahren abgesichert werden.

Infrastrukturbetreiber von öffentlichen und kritischen Unternehmen haben nach NIS2 die Pflichten, bei einer Einschränkung oder Wiederherstellung ihres Dienstes den Schutzstatus im Netz nach den Regelwerken des Bundes sicherzustellen.

 

Sicherheitsüberprüfung gem. NIS2 und BSIG 

Die Sicherheitsüberprüfung dient in der Bundesrepublik der Prävention von sicherheitsempfindlichen Tätigkeiten, insbesondere in öffentlichen Einrichtungen, der Verteidigung und beim Zugang zu Verschlusssachen. Ziel ist es, sicherheitserhebliche Risiken für den Staat, die Gesellschaft und die betroffenen Menschen frühzeitig zu erkennen und zu bewerten. Grundlage sind die einschlägigen Gesetze, Verwaltungsvorschriften und die Bestimmungen des BSI zur Cybersicherheit und NIS2-Umsetzung.

Im Rahmen der Sicherheitsüberprüfung werden personenbezogene Daten verarbeitet, darunter Angaben zur Person, Gesundheit, Arbeitsschutz und zu möglichen Hintergründen, die Rückschlüsse auf die Zuverlässigkeit zulassen. Diese Informationsbestände werden in einer Sicherheitsakte bei der zuständigen Stelle geführt und dürfen nur zum festgelegten Zweck verwendet werden. Die Übermittlung und Verarbeitung erfolgt nach denFestlegungen des Datenschutzrechts, um den sicheren Betrieb und die Integrität der informationstechnischen Systeme zu gewährleisten.

Der Anwendungsbereich erstreckt sich auf Personen, die in sicherheitsempfindlichen Stellen tätig sind oder Zugang zu sicherheitserheblichen Dateien und Verschlusssachen erhalten. Dazu zählen auch Systemverantwortliche IT-gestützter Dienste und öffentlichen Einrichtungen, die im Rahmen der NIS2-Richtlinie eine besondere Verantwortung für die nationale Cybersicherheit tragen.

Die Bewertung der erhobenen Erkenntnisse erfolgt durch die zuständigen Sicherheitsüberprüfungsstellen. Sie prüfen die Voraussetzungen für die Eignung der betroffenen Person und erstellen eine Übersicht über mögliche Sicherheitsrisiken. Auf dieser Grundlage werden geeignete Leistungen und Maßnahmen zur Stärkung der Schutzkonzepte und zur Vermeidung von Gefährdungen im Betrieb und bei der Datenverarbeitung festgelegt.

Insgesamt leisten Sicherheitsüberprüfungen einen wesentlichen Beitrag zur Sicherstellung des Schutzes personenbezogener Daten, zur Abwehr von Bedrohungen für öffentliche Verwaltungsorgane und zur Aufrechterhaltung eines sicheren Netzes innerhalb der Bundesrepublik.

 

Erweiterung mit dem IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsrecht verpflichtet die Betriebsführung von KRITIS-Anlagen (Systembetreiber), in ihrer Unternehmens-IT geeignete Systeme zur Angriffserkennung einzuführen, klare Aufgaben für Mitarbeiter festzulegen und sichere Berechtigungen zu nutzen. Die KRITIS-Verordnung definiert dabei, welche Basisinfrastrukturen betroffen sind, während die NIS2-Umsetzung (NIS2) zusätzliche Vorgaben und Zertifizierungen vorsieht. Ziel ist ein abgestimmtes, international wirksames Sicherheitsniveau.

Mit dem im Jahr 2021 in Kraft getretenen IT-Sicherheitsgesetz 2.0 wurden die Regelungen der ursprünglichen KRITIS-Sicherheit Gesetzgebung weiter verschärft und ausgeweitet. Zu den wichtigsten Neuerungen der IT-Sicherheitsgesetzgebung für Informationssicherheit der IT-Betriebsumgebung zählen:

 

Ausweitung des KRITIS-Kreises des Bundes

Die IT-Sicherheitsvorschrift 2.0 erweitert den Kreis der betroffenen Firmen. Nun zählen auch Organisationen aus den Bereichen Abfallwirtschaft, Rüstung und bestimmte Mittelstandsunternehmen, die eine besondere Wichtigkeit für die nationale Schutzdisziplin haben, zu den Betreibern risikorelevanter Versorgungssysteme gem. Sicherheitsgesetz zum proaktiv Absichern der Infrastruktur eines kritischen und öffentlichen Unternehmens.

 

Einführung der „Unternehmen im besonderen allgemeinen Interesse“ in den IT-Sicherheitsgesetzesvorgaben

Neben den Betreibern sicherheitsabhängiger Versorgungseinrichtungen wurden per Sicherheitsvorgabe der Sicherheitsvorsorge für Netzwerk, sichere Geräte und E-Mails, Richtlinie und Cybersecurity-Gesetz auch sogenannte UBÖI in den Fokus genommen. Hierzu zählen im IT-Sicherheitsgesetzeswerk Einrichtungen, die:

  • Ein besonders hohes wirtschaftliches Potenzial haben, wie beispielsweise große Sicherheits-, Rüstungsunternehmen oder Medienunternehmen mit hoher Reichweite.
  • Eine große Relevanz für das Gemeinwohl haben, z. B. in der Rüstungsproduktion oder im Zahlungsverkehr.

Diese Gesellschaften müssen gem. Gesetz ihre Incident Response und Computersicherheit nachweisen und IT-Attacken sowie Sicherheitsvorfälle auf die Organisation melden.

 

Erhöhte Befugnisse des BSI lt. IT-Sicherheitsgesetzgebung

Das Bundesamt hat mit dem Informationssicherheitsgesetz erweiterte Befugnisse zum Schutzkonzept erhalten. Es darf Beratungs- und Kontrollfunktionen ausüben und aktiv Sicherheitslücken in Informationssystemen aufspüren und die Verantwortlichen darauf hinweisen. In kritischen Fällen kann es gem. IT-Schutzregelung zur Gefahreprävention sogar die Entfernung unsicherer Komponenten anordnen.

Darüber hinaus hat das BSI die Möglichkeit, eigene Maßnahmen zur Angriffserkennung und Abwehr der Bundesverwaltung zu entwickeln und einzusetzen. Das Schutzgesetz zur Erhöhung der Cybersecurity für Verwaltungen stärkt die Position des Bundesamtes als zentrale Behörde (BSI) für IT-Grundschutz und ermöglicht es der Bundesregierung, mit der IT-Sicherheitsgesetzesvorschrift auf Gefahren flexibler zu reagieren.

 

Verschärfte Meldepflichten an das Bundesamt für Sicherheitsvorfälle

Die Meldepflichten für Sicherheitsvorfälle wurden mit dem IT-Sicherheitsgesetz 2.0 nochmals verschärft. Jetzt müssen Betreiberfirmen lebenwichtiger Infrastruktursysteme, UBÖI und Konzerne aus dem Rüstungssektor signifikante IT-Sicherheitsvorfälle unverzüglich an das BSI melden. Diese Pflicht der IT-Sicherheitsgesetzesnorm gilt auch für Anbieter vernetzter Dienste.

 

Verbot von unsicheren Produkten

Eine weitere bedeutende Neuerung vom Sicherheits-Gesetz der Informationssicherheit gegen Cyberberohungen ist das Verbot bestimmter IT-Produkte, die unsicher sind. Die Bundesbehörde kann nun bestimmte Produkte auf eine „Schwarze Liste“ setzen, wenn diese schwerwiegende Sicherheitslücken für die Datensicherheit der Information Technology aufweisen und potenziell eine Gefahr für die informationstechnische Systemsicherheit und IT-Grundschutz vom BSI darstellen. Die IT-Sicherheitsgesetzeskraft betrifft vor allem Ausstattungen und Ressourcen, die im Infrastruktursegment sicherheitsempfindlicher Versorgungssysteme eingesetzt werden.

 

Auswirkungen des IT Sicherheitsgesetzes

Die IT-Sicherheitsgrundlage ergänzt das BSIG und legt im KRITIS-Sektor tätige KRITIS-Anlagen verpflichtend fest, im Rahmen der NIS2-Umsetzung sichere Berechtigungen einzusetzen, was für jedes betroffene Unternehmen verbindlich ist.

Die Sicherheitsüberprüfung ist ein zentrales Verfahren zur Risikoreduzierung der Sicherheitsinteressen der Bundesrepublik. Sie ist anwendbar auf Personen, die eine sicherheitsempfindliche Tätigkeit ausüben oder Zugang zu Verschlusssachen und geheimen Informationen erhalten. Ziel ist es, sicherheitserhebliche Risikolagen zu erkennen, bevor eine Gefährdung für den Staat, die Verteidigung oder die Funktionsfähigkeit systemtragender Einrichtungen entstehen kann.

Im Rahmen der Sicherheitsüberprüfung werden die betroffenen Mitarbeiter durch die zuständige Stelle (BSI) überprüft. Die dabei gewonnenen Erkenntnisse werden in einer Sicherheitsakte dokumentiert und ausschließlich zum festgelegten Zweck verarbeitet. Grundlage bilden die einschlägigen Verwaltungsvorschriften, das Sicherheitsüberprüfungsgesetz und ergänzende Bestimmungen des Gesetz über das Bundesamt für Sicherheit in der Informationsverarbeitungstechnik.

Besonders im Bereich der digitalen und informationstechnischen Systeme spielt die Sicherheitsüberprüfung eine zunehmende Rolle. Mit der NIS2-Umsetzung rücken auch Infrastrukturverantwortliche hochsensibler Basisversorgungseinheiten und digitale Dienste in den Fokus, da ihre Sicherheitsleistungen wesentlich zur Cybersicherheit und zur Stabilität des Netzes beitragen.

Während des Verfahrens werden personenbezogene Daten, Unterlagen und Dateien streng vertraulich behandelt. Die Übermittlung von Systeminformationen an andere Stellen erfolgt nur, wenn sie für die Beurteilung der Sicherheitsrisiken erforderlich ist. Dabei treffen klare Regeln zum Datenschutz und zur Wahrung der Gesundheit und Rechte der Beschäftigten zu.

Insgesamt tragen Sicherheitsüberprüfungen wesentlich dazu bei, die Funktionsfähigkeit sicherheitsempfindlicher Betriebe zu gewährleisten, sichere Arbeitsumgebungen zu schaffen und die Verwaltungseinheiten sowie den Betrieb im Verantwortungsbereich der Verschlusssachen und Cybersicherheit zuverlässig zu schützen.

Für Unternehmungen, die nicht zu den Betreibern schutzbefürftiger Infrastrukturen oder UBÖI gehören, sind die Konsequenzen des Gesetzes zur Abwehrfähigkeit und IT-Rahmengesetzes in erster Linie indirekt. Trotzdem sollte auch der Mittelstand die Vorgaben der Rechtsnorm und IT-Sicherheitsgesetzesregelung zum Anlage- und Cyber-Sicherheitsmanagement ernst nehmen, da die allgemeine Bedrohungslage im Sicherheitssektor Cyberkriminalität stetig zunimmt.

Auch kleinere und mittelständische Unternehmer (KMU) können Opfer von Cyberangriffen werden und sollten daher entsprechende Sicherheitsmaßnahmen zur Cyberabwehr ergreifen. Die NIS2-Richtlinie und IT-Sicherheitsanforderungen geben verschiedene Initiativen und Förderprogramme, die KMU dabei unterstützen, ihre IT-Sicherheitsinfrastruktur zu verbessern.

Die Entwicklung moderner Technologien, hauptsächlich in den Bereichen Informationstechnologie (IT), Informatik und Elektrotechnik, hat tiefgreifende Auswirkungen auf Wirtschaftsschutz, Staat, Länder und Kommunen. Durch die zunehmende Vernetzung und den Einsatz von Tools wie künstlicher Intelligenz werden Anwendungen und Techniken geschaffen, die Verbindungen und Funktionen ermöglichen.

Software und digitale Lösungen revolutionieren die Pflege von Informationensressourcen und der Datenverarbeitung, während Verordnungen und Gesetze auf Bundes- und Länderebene den rechtlichen Rahmen setzen (Sicherheitsgesetz). Im Zusammenhang mit der Infrastruktur und der Informations- und Kommunikationstechnik (ICT) fördern Forschung und Wissenschaft die Weiterentwicklung sicherster IT-Anlagen, IKT und Sicherheitsrahmen, um Kriminalität und Verbrechen online im Internet zu bekämpfen. User profitieren von Downloads, Service und verbesserten Kompetenzen, die die Bedeutungen technischer Werkzeuge der verschiedenen Bereiche unterstreichen.

 

Herausforderungen und Kritik am NIS-2- und IT-Sicherheitsgesetz

Die Sicherheitsüberprüfung ist ein Verfahren, das die Risikominimierung sicherheitsrelevanter Bereiche und Tätigkeiten gewährleistet. Sie tangiert Personen, die in sicherheitsempfindlichen Stellen beschäftigt sind oder Zugang zu sicherheitserheblichen Systemen haben. Ziel ist es, durch die Prüfung von Erkenntnissen über die betroffenen Personen mögliche Gefahrenpotenziale frühzeitig zu erkennen und die Funktionsfähigkeit sicherheitskritischer Aufgaben dauerhaft sicherzustellen.

Die zuständige Stelle führt die Überprüfung nach festgelegten Gesetzgebung, Regeln und gesetzlichen Verantwortung durch. Dabei werden personenbezogene Dateien im Rahmen der Datenverarbeitung verarbeitet. Der Zweck besteht darin, die Risikovorsorge der öffentlichen Verwaltung, der Kommunikationstechnik und des gesamten sicherheitsrelevanten Betriebs zu schützen.

Im Bereich der Cybersicherheit spielt die Sicherheitsüberprüfung insbesondere für Betreiber schutzbedürftiger Infrastrukturen und im Zuge der NIS2-Umsetzung eine wachsende Rolle. Diese öffentlichen Einrichtungen tragen besondere Sicherheitspflichten, um die Stabilität digitaler Systeme und Netzwerke zu gewährleisten und sicherheitserhebliche Störungen zu verhindern.

Die Verarbeitung der gewonnenen Feststellungen erfolgt streng vertraulich. Nur autorisierte Stellen dürfen Zugriff erhalten, und die Betriebsdaten dürfen ausschließlich zu dem festgelegten Zweck genutzt werden. So wird sichergestellt, dass Beschäftigte fair behandelt werden und zugleich die Sicherheitsinteressen des Staates und der kritischen Infrastrukturträger gewahrt bleiben.

Insgesamt trägt die Sicherheitsüberprüfung wesentlich zur Aufrechterhaltung der Funktionsfähigkeit von Zuständigkeiten, Kommunikationstechnik und digitalen Funktionsinfrastrukturen bei und bildet eine wichtige Grundlage für eine sichere und verantwortungsbewusste Datenverarbeitung in allen sicherheitsempfindlichen Bereichen.

Das Systemsicherheitskonzept verlangt von kritischer Infrastruktur, dass Services auch bei Störungen abgesichert, klare Berechtigungen vergeben und Mitarbeiter entsprechend geschult werden. Das IT-Sicherheitsgesetz ist zweifellos ein notwendiger Schritt zur Verbesserung der Cyber Security. Allerdings gibt es auch einige Schwierigkeiten und Kritikpunkte, die beachtet werden müssen:

  • Hohe Kosten: Die Umsetzung des IT-Sicherheitsgesetzes, speziell für KRITIS-Betreiber und Organisationsverantwortliche, kann mit erheblichen Investitionen verbunden sein. Besonders Kleinunternehmen haben Schwierigkeiten, die geforderten Schutzmaßnahmen finanziell zu stemmen.
  • Technologische Überforderung: Viele KRITIS-Unternehmen verfügen nicht über das notwendige Know-how, um die geforderten Sicherheitsstandards eigenständig zu erfüllen. Dies führt zu einem verstärkten Bedarf an externer Beratung, was ebenfalls teuer werden kann.
  • Datenschutz vs. Sicherheitsanforderungen: Ein weiterer Kritikpunkt ist der potenzielle Konflikt zwischen Datenschutzanforderungen und den Anzeigepflichten des IT-Schuzgesetzes. Kritiker befürchten, dass mit den umfangreichen Informationspflichten der IT-Sicherheitsgesetzespflicht die Privatsphäre von Nutzern und Kunden beeinträchtigt werden könnte.
  • Effektivität der Regelungen: Obwohl das Netzwerksicherheitsgesetz strikte Richtlinien macht, bleibt die Frage, wie effektiv diese in der Praxis umgesetzt werden. Vordergründig die Durchsetzung der Offenlegungspflichten und die Kontrolle der Sicherheitsstandards könnten in der Praxis auf Schwierigkeiten stoßen.

 

Physische Abwehrstruktur und Reinigung der Informationstechniken

Die Sicherheitsüberprüfung ist ein wichtiges Verfahren zum Schutz der Sicherheitsinteressen in Bereichen, in denen sicherheitsempfindliche Tätigkeiten ausgeübt werden oder Zugang zu sicherheitserheblichen Informationen besteht. Sie betrifft Mitarbeitende, deren Aufgaben von besonderer sicherheitlicher Signifikanz sind, etwa in der Kommunikationstechnik, der Cybersicherheit oder im Betrieb schutzrelevanter Infrastrukturen. Ziel ist es, die Funktionsfähigkeit staatlicher und betrieblicher Strukturen dauerhaft zu gewährleisten.

Die Überprüfung erfolgt durch die jeweils zuständige Stelle nach den Vorgaben des BSIG sowie weiterer einschlägiger Regeln und Verordnungen. Dabei wird das betroffene Betriebspersonal sorgfältig geprüft, um potenzielle Sicherheitsrisiken zu erkennen. Alle gewonnenen Sicherheitsbewertungen werden in einer Sicherheitsakte dokumentiert und dienen ausschließlich dem festgelegten Zweck.

Im Rahmen der Datenverarbeitung werden personenbezogene Dateien nach strengen Datenschutzbestimmungen behandelt. Die Anwendung moderner Verfahren der Cybersicherheit stellt sicher, dass die erhobenen Nutzungsdaten vertraulich bleiben und nicht unbefugt genutzt werden. Damit wird sowohl die Sicherheitsmaßnahme der Beschäftigten als auch die Integrität der sicherheitsrelevanten Systeme gewährleistet.

Mit der NIS2-Umsetzung und die erweiterte Compliance für Betreiber schlüsselrelevanter Infrastrukturen gewinnt die Sicherheitsüberprüfung weiter an Bedeutung. Sie unterstützt die sichere Anwendung von Kommunikationstechnik und digitalen Diensten, stärkt die Resilienz gegen Bedrohungen und trägt entscheidend dazu bei, dass die Funktionsfähigkeit der öffentlichen und privaten Sicherheitsstrukturen erhalten bleibt.

Neben informationstechnischer Absicherung gem. Sicherheitsregelung spielt auch die physische Safety eine entscheidende Rolle im Rahmen der IT-Sicherheitsregelung. Informationssysteme, Technik, Serverräume und Netzwerkinfrastrukturen müssen vor unbefugtem physischen Zugriff geschützt werden. Dies umfasst Präventionsmaßnahmen wie Zutrittskontrollen, Überwachungskameras, Alarmanlagen und spezielle Sicherheitszonen. Solche Vorkehrungen verhindern Diebstahl und schützen auch vor Sabotage und physischen Manipulationen an Hardware.

Das Cybersicherheitsstärkungsgesetz, die KRITIS-Verordnung und das NIS2UmsuCg setzen wichtige Standards für die Netzwerk- und Cyber-Sicherheit und Kommunikationsinfrastrukturen. Mit dem IT Sicherheitsgesetz (ITSig) wird die Resilienz gegen Cyber-Bedrohungen wie Ransomware, Malware und die Ausnutzung von Schwachstellen gestärkt.

Die Einführung von IT-Sicherheitsgesetzeswirkung, Best Practices für System- und Datensicherheit sowie die Förderung von Resilience sind essenziell, um Information-Technology, Benutzer, Computer und Programme der Informatik zu schützen. Besonders in Cloud-Umgebungen und großen Netzen ist eine nachhaltige Unterstützung durch Cyberschutz entscheidend, um Attacken abzuwehren und den System- und Informationsschutz digital sicherzustellen.

Darüber hinaus ist die Reinigung der Technik von großer Tragweite. Staub, Schmutz und andere Umwelteinflüsse beeinträchtigen die Funktionstüchtigkeit von Servern, Computern und Netzwerkausrüstung und führen langfristig zu Ausfällen. Eine professionelle IT-Reinigung gewährleistet nicht nur den störungsfreien Betrieb der Elektronik, sondern trägt auch zur Langlebigkeit der Hardware bei.

Diese oft unterschätzte Maßnahme ist eine ergänzende Schutzvorkehrung zur technischen und organisatorischen Ausfallsicherheit, die im Einklang mit den Bestimmungen der Telekommunikations- und Datensicherheitsrichtlinie steht und die Gesamtsicherheit der Schlüsselstrukturen des Gesetzes unterstützt.

 

Fazit: Die Priorität der NIS2 / IT-Sicherheitsgesetze (ITSig) und IT-Sicherheitsstandards

Das IT-Sicherheitsgesetz (ITSig), IT-Sicherheitsstandards und die Erweiterung sind wichtige Instrumente, um die Cybersicherheit der IT-Systemlandschaften zu stärken. Mittels eindeutiger Vorschriften an Verantwortliche schutzwürdiger Infrastrukturen im besonderen öffentlichen Interesse trägt das Gesetz dazu bei, die Computersysteme in zentralen Bereichen des gesellschaftlichen Lebens und der Wirtschaft widerstandsfähiger gegenüber Cyberangriffen zu machen.

Die Sicherheitsüberprüfung ist ein zentrales Instrument als Sicherungsmaßnahme von sicherheitsempfindlichen Tätigkeiten und Bereichen, in denen Fachkräfte mit vertraulichen oder sicherheitserheblichen Informationen umgehen. Sie dient dazu, die Zuverlässigkeit der betroffenen Anwender festzustellen, bevor ihnen ein Zugang zu sicherheitsrelevanten Betriebsinformationen, Systemen oder Einrichtungen gewährt wird.

Durchgeführt wird die Sicherheitsüberprüfung von der zuständigen Stelle, die alle relevanten Erkenntnisse sammelt, bewertet und dokumentiert. Ziel ist eine Systematik über mögliche Angriffspotenziale zu erhalten, um die Sicherheit der Organisation und die Integrität der Kommunikationstechnik zu gewährleisten. Dabei gelten feste Regeln und gesetzlich verankerte KRITIS-Pflichten, die den Schutzmechanismus der überprüften Personen ebenso sicherstellen wie die Wahrung der staatlichen Sicherheitsinteressen.

Im Bereich der Cybersicherheit kommt der Sicherheitsüberprüfung eine wachsende Systembedeutung zu. Gerade in kritischen Infrastrukturen und bei Betreibern elektronischer Systeme ist sie ein wesentlicher Bestandteil, um sicherheitserhebliche Schwachstellen zu vermeiden und die Funktionsfähigkeit der technischen und organisatorischen Abläufe langfristig sicher zu halten.

Insgesamt trägt die Sicherheitsüberprüfung dazu bei, dass nur vertrauenswürdige Personen in sicherheitsrelevanten Stellen eingesetzt werden. Sie ist somit eine grundlegende Voraussetzung für den Zugriffsschutz sensibler und stabiler Kommunikationstechnik und einer widerstandsfähigen Cybersicherheitsstruktur.

Für Wirtschaftsunternehmen bedeutet die Sicherheitsverordnung jedoch auch, dass sie verstärkt in ihre IT-Sicherheitsmaßnahmen investieren müssen. Angesichts der zunehmenden Bedrohungen aufgrund von Cyberkriminalität ist dies jedoch nicht nur eine gesetzliche Verpflichtung, sondern auch eine wichtige Investition in die eigene Betriebssicherheit und Wettbewerbsfähigkeit.

Wirtschaft und Behörden sollten die IT-Gesetzgebung als Chance betrachten, ihre IT-Infrastrukturen zu modernisieren und vor künftigen Gefährdungen abzusichern. Mit den richtigen Security-Maßnahmen und einer umfassenden Sicherheitsstrategie werden sie den gesetzlichen Bedingungen gerecht und stärken das Vertrauen ihrer Kunden und Partner.

Die fortschreitende Digitalisierung und die damit einhergehenden Sicherheitsbedrohungen machen den IT-Sicherheitsrahmen zu einem unverzichtbaren Bestandteil der deutschen Sicherheitsarchitektur, der auch künftig weiterentwickelt und an neue Komplexitäten angepasst werden muss.

Die fortschreitende Digitalisierung stellt sowohl Chancen als auch ein wachsendes Risiko für alle Sektoren der Industrie dar, was eine tiefgreifende Transformation bestehender Strukturen erforderlich macht. In verschiedenen Branchen und Bereichen werden durch neue Gesetze, wie dem IT-Sicherheitsgesetz und der zweiten NIS-Richtlinie (NIS2umsucg), klare Regeln, Normen und Sicherheitsvorgaben gesetzt, um einen gesicherten Zustand datentechnischer Anlagen im Internet zu gewährleisten.

Die Verordnung und der rechtliche Rahmen des IT-Sicherheitsgesetzes und der Schutzmaßnahmen sind fest in der deutschen Rechtsordnung verankert, wobei die Rechtsverordnung nicht nur elektronische Sicherheitsbedingungen, sondern auch organisatorische Systemsicherheitsmaßnahmen wie Schulungen und die Stärkung von Rechten und Sorgfaltspflichten umfasst. Ziel dieser Gesetzes-Initiativen ist es, durch präzise definierte Rechts-Grundlagen den sicheren Austausch sensibler Informationen zu fördern. Damit wird das Fundament für ein widerstandsfähiges Gemeinwesen gesetzt.

 

Glossar zum Sicherheitsgesetzes-Ökosystem und NIS2 Norm

IT (Informationstechnologie) umfasst die Nutzung von Computern, Netzwerken, Software und digitalen Systemen zur Speicherung, Verarbeitung, Übertragung und Sicherung von Daten. Sie ist ein zentraler Bestandteil moderner Arbeits- und Lebenswelten und bildet die Grundlagen für Techniken wie Datenbanken, Cloud-Systeme, Künstliche Intelligenz und Netzwerkinfrastrukturen. IT wird in nahezu allen Branchen eingesetzt, um Prozesse zu automatisieren, Informationen bereitzustellen und die Kommunikation zu erleichtern.

Datensicherheit oder Network-Security bezeichnet den IT-Schutz von Netzwerksystemen, Netzwerken und Datensätze vor unbefugtem Zugriff, Manipulation, Diebstahl oder Zerstörung. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, das Schutzniveau und die Belastbarkeit von Systemen sicherzustellen (Zugriffskontrolle). Dies wird mit Firewalls, Verschlüsselung, regelmäßige Updates, Zugriffskontrollen und Sicherheitsrichtlinien erreicht, um Unsicherheiten wie Cyberangriffe, Viren oder Datenlecks abzuwehren.

Ein Gesetz ist eine verbindliche Regelung, die von einer gesetzgebenden Instanz, wie einem Parlament, erlassen wird und das Verhalten von Personen, Organisationen oder staatlichen Institutionen regelt. Es dient dazu, Ordnung zu schaffen, Rechte und Sicherheitsauflagen festzulegen und das Zusammenleben in einer Gemeinschaft zu strukturieren. Rechtsverordnungen sind schriftlich fixiert und müssen eingehalten werden; Verstöße ziehen rechtliche Konsequenzen nach sich.

Sicherheit im Kontext von Gesetzen, wie etwa EU-weite IT-Sicherheitszertifizierungen und BSI-Gesetz für ITK, zielt darauf ab, Informationssicherheit und Sicherheitsvorkehrung vor Gefahren in der digitalen und physischen Welt zu gewährleisten. Das Gesetz zur Sicherheit regelt die Umsetzung von Methoden zur Network & IT-Schutzkonzept, den Umgang mit IT-Sicherheitsvorfällen sowie Informationssicherheit vor Cyber-Bedrohungen wie Schadprogrammen.

Die BSI-Kritisverordnung legt Cyber- und Sicherheitsstandards für kritische Strukturen fest, um deren Funktionsfähigkeit zu sichern. Neben der informationstechnischen Sicherheitsvorkehrungen spielen auch Bereiche wie Brandschutz, Sicherheitstechnik und Arbeitssicherheit eine Rolle, um an jedem Standort – von elektronischen Systemen bis hin zu physischen Anlagen – umfassende Verteidigung zu realisieren. Meldestellen und Sicherheitsdienste unterstützen dabei, Vorfälle frühzeitig zu erkennen und die Einhaltung von Gesetzesvorgaben sicherzustellen.

NIS zwei (Network and Information Systems) bezieht sich auf die Versorgungssicherheit und Widerstandsfähigkeit von Netzwerken und Informationssystemen, schwerpunktmäßig im Zusammenhang mit kritischen Infrastrukturen. Die NIS-Richtlinie (NIS2) der EU (Network and Information Security Directive) legt Mindeststandards für Cybersicherheit fest, um öffentliche Einrichtungen vor Cyberbedrohungen zu schützen und die digitale Resilience zu stärken.

Sicherheitsvorfälle sind unerwartete Ereignisse oder Angriffe, die die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen, Systemdaten oder Netzwerken gefährden. Zum IT-Sicherheitsvorfall gehören Cyberangriffe wie Phishing, Malware-Infektionen, Datenlecks oder unbefugte Zugriffe. Sicherheitsvorfälle entstehen durch informationstechnische Schwachstellen, menschliche Fehler oder gezielte Hackerangriffe. Eine schnelle Erkennung, Analyse und Reaktion ist essenziell, um Schäden zu minimieren und die Informationssicherheit wiederherzustellen. 

IT-Management ist ein notwendiger Begriff, wenn es um die Gesetze zur Resilience betriebskritischer Infrastrukturen Branchen geht. Die NIS-2-Richtlinie, als zweite europäische Version der NIS-Regelungen, setzt den Stand der Technik für EU Cybersecurity Act und Datensicherheit in der Verwaltung um. Mit IT-Grundschutz werden schützenswerte EDV-Systeme vor Bedrohung wie Malware, Phishing und Hacker Aktivitäten geschützt.

Firewall, sichere Benutzerkonten, starke Passwörter und das Schließen der Fenster und Türen im digitalen Raum sind essenzielle Maßnahmen. Unternehmen müssen ihre Basis gegen unautorisierte Aktivitäten verteidigen und sich mit technisch modernen Mitteln absichern, um sich mit Cyber-Sicherheit vor Viren zu schützen.

Die Sicherheitsüberprüfung dient dem Schutz von sicherheitsempfindlichen Tätigkeiten und Stellen, in denen ein besonderes Vertrauensverhältnis erforderlich ist. Dabei werden über die betroffene Person relevante Erkenntnisse gesammelt und bewertet. Die zuständige Stelle erstellt einen Orientierungsrahmen über mögliche sicherheitserhebliche Verwundbarkeiten und entscheidet über die Eignung. Im Bereich der Cybersicherheit ist die Überprüfung besonders wichtig, um die Integrität sensibler Systeme zu gewährleisten. Sie unterstützt die Erfüllung staatlicher und betrieblicher Pflichten im Rahmen des Sicherheitsmanagements.

Die Sicherheitsüberprüfung dient dazu, die Zuverlässigkeit einer Person festzustellen, die eine sicherheitsempfindliche Tätigkeit ausübt oder in einer entsprechenden Stelle beschäftigt ist. Die zuständige Stelle sammelt und bewertet alle relevanten Erkenntnisse, um mögliche sicherheitserhebliche Risiken zu erkennen. Ziel ist eine Strukturübersicht über die Vertrauenswürdigkeit und Eignung der betroffenen Person. Damit werden wichtige Compliance-Pflichten im Rahmen des staatlichen und organisatorischen Sicherheitsmanagements erfüllt und die Integrität sicherheitsrelevanter Bereiche gewährleistet.

Die Sicherheitsüberprüfung ist ein Verfahren zur Prävention von sicherheitsempfindlichen Tätigkeiten und Stellen, bei denen besondere Vertrauenswürdigkeit erforderlich ist. Die zuständige Stelle prüft alle relevanten Erkenntnisse, um mögliche Risikofaktoren für die Sicherheitslage frühzeitig zu erkennen. Ziel ist es, sicherzustellen, dass nur geeignetes Personal mit solchen Aufgaben betraut werden. Damit erfüllt die Sicherheitsüberprüfung wichtige Obliegenheiten im Rahmen des staatlichen und organisatorischen Sicherheitsmanagements.

Die Sicherheitsüberprüfung dient der Risikominimierung von sicherheitsempfindlichen Bereichen und der zuverlässigen Wahrnehmung sicherheitsrelevanter Aufgaben. Die zuständige Stelle bewertet dabei alle verfügbaren Erkenntnisse über Personen oder Versorgungsbetreiber, die Zugang zu kritischen Infrastrukturen oder sensiblen Informationen haben. Grundlage bilden die Bestimmungen des BSIG und die Richtlinien des Bundesamts für Sicherheit in der Informationstechnik. Ziel ist es, Schadensrisiken frühzeitig zu erkennen und die Einhaltung aller sicherheitsrelevanten Auflagen sicherzustellen.

Links

 

Neu

Ursachen für IT-Störungen und Ausfälle

Ursachen für IT-Störungen und Ausfälle

Hardwarefehler resultieren meist aus Überhitzung, verursacht durch Stäube und Verschmutzungen.

Baustaub Kontamination

Baustaub Kontamination: Unkalkulierte Zwischenfälle im Rechenzentrum

Wenn es in Serverräumen zu unkalkulierten Zwischenfällen (Störfall) wie einer Quarzstaub-Kontamination kommt, stehen Organisationen vor der Frage, wie die betrieblichen Abläufe schnellstmöglich wiederhergestellt werden können. Wie kann sichergestellt werden, dass ein Unternehmen im Krisenfall die betriebliche Kontinuität aufrechterhalten kann?

Von Geräte Herstellern empfohlen

Gerätehersteller fordern Staubfreiheit im Serverraum:

Dell PowerEdge Benutzerhandbuch: Technische Daten zu Partikel- und gasförmiger Verschmutzung.

IBM: Verunreinigungen am Installationsstandort.

Oracle: Begrenzung der Schadstoffkonzentration, ISO 14644-1, erforderliche Luftqualitätsstufen.

Fujitsu FTS-04230 Specification for DataCenter Particulate contamination

HPE Hewlett Packard Enterprise Dust Concentration ISO 14644 - 1 Class 8

BSI Edition 2023

BSI: Elementare Gefährdungen

Grundschutz-Kompendium

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 200-2 IT-Grundschutz-Methodik

BSI-200-3 Risikomanagement

200-4 Business Continuity Management - Community Draft

100-4 Notfallmanagement

SYS: IT-Systeme SYS.1.2.3: Windowsserver

Leitfaden zur Basis-Absicherung in 3 Schritten.

IT-Grundschutz-Bausteine

IT-Systeme: SYS.1.1 Allgemeine Serveranlage

INF.2:Rechenzentrum

Checklisten zum IT-Grundschutz-Kompendium

ISO 14644 bei der Beuth Verlag GmbH