Menü
Ein Beitrag von Adacor

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

Das Ziel des IT-Sicherheitsgesetzes ist, durch gesetzliche Regelungen den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. Es richtet sich an Anbieter verschiedener IT-Dienstleistungen.
ParagagraphDas IT-Sicherheitsgesetz hat das große Ziel die Sicherheit informationstechnischer Systeme in Deutschland erheblich zu verbessern, um aktuellen und zukünftigen Gefahren für die IT-Sicherheit (z. B. Cyberattacken) wirksam begegnen zu können. Darüber hinaus sollen die Befugnisse von BSI und dem Bundeskriminalamt gestärkt werden. Das IT-Sicherheitsgesetz wendet sich an verschiedene Zielgruppen wie Anbieter von Webangeboten, Telekommunikationsunternehmen sowie insbesondere Betreiber Kritischer Infrastrukturen (KRITIS).

Das IT-Sicherheitsgesetz selbst ist kein Gesetz aus dem sich konkrete Ansprüche ableiten lassen. Vielmehr wurden durch dieses neue Pflichten durch Änderungen bestehender Regelungen in anderen Gesetzen eingeführt. Im Weiteren wird vor allem auf Regelungen im BSI- und Telemediengesetz eingegangen, da diese speziell für die IT-Dienstleistungsbranche gelten. Weitere betroffene Gesetze sind das Energiewirtschaftsgesetz (EWG), das Telekommunikationsgesetz (TKG), das Bundesbesoldungsgesetz und das Bundeskriminalamtgesetz (BKA-G).

Schutz von Kritischen Infrastrukturen

Zu den zentralen Zielen des IT-Sicherheitsgesetzes zählt die Sicherstellung der sogenannten Kritischen Infrastrukturen (KRITIS). Hintergrund dieser Regelungen waren dabei Hacker-Angriffe auf öffentliche Stellen, wie etwa die Stuxnet-Angriffe auf iranische Atomanlagen im Jahre 2010.

Image

Digitalisierung nimmt Fahrt auf

Behind The Scene Ausgabe 33
Topthemen:
Digitale Transformation im Agenturalltag
So funktioniert Cloud Hosting
Die Grenzen von OpenStack

Jetzt PDF kostenfrei downloaden

KRITIS – was ist das?

Kritische Infrastrukturen sind nach neuer Rechtslage im BSI-Gesetz Unternehmen und Infrastrukturen, „die von hoher Bedeutung für das Gemeinwesen“ sind (§ 2 Absatz 10 Satz 1 BSI-G). Dazu gehören laut der Gesetzesbegründung (BT-DS 18/4096 S. 38) insbesondere Unternehmen aus folgenden Bereichen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

Qualifizierend gilt, dass der Ausfall oder die Beeinträchtigung dieser Institutionen zu einem Versorgungsengpass oder einer Gefährdung der öffentlichen Sicherheit oder des Gemeinwesens führen können (§ 2 Absatz 10 Satz 1 BSI-G).

Davon abgegrenzt wurde bereits, welche Unternehmen nicht von dieser Regelung betroffen sind, nämlich sogenannte „Kleinstunternehmen“ im Sinne der Definition der EU-Kommission: Unternehmen mit einer Mitarbeiteranzahl von unter zehn Personen und einem Umsatz beziehungsweise einer Jahresbilanz von unter 2 Mio. Euro (§ 8c Absatz 1 Satz 1 BSI-G; Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003).

Dass zwischen diesen beiden Definitionen ein immens großer Spielraum liegt, ist offensichtlich. Klärung welche Unternehmen oder Bereiche denn nun genau sogenannte „KRITIS“ sind, soll deshalb demnächst eine vom BSI erlassene Rechtsverordnung bringen.

Welche Pflichten gibt es für KRITIS?

Die Hauptpflichten für KRITIS betreffen insbesondere den Schutz der Informationssicherheit, also den Schutz von Verfügbarkeit, Integrität und Vertraulichkeit von Daten und dazu nötigen IT-Systemen.

Umsetzung von Maßnahmen zur Informationssicherheit

Konkret soll dies gewährleistet werden durch „angemessene organisatorische und technische Vorkehrungen nach Stand der Technik“. Wobei mit angemessenen Maßnahmen diejenigen gemeint sind, deren „Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung“stehen (§ 8 Absatz 1 Satz 1 und 2 BSI-G). Diese sollen spätestens zwei Jahre nach Inkrafttreten der genannten Rechtsverordnung umgesetzt und Nachweise die dies bestätigen dem BSI zugesandt werden.

Informationspflichten gegenüber dem BSI

Wirklich neu ist vor allem die intensivierte Zusammenarbeit mit dem BSI, um die Prävention und Verbesserung von Abwehrmaßnahmen von Cyberattacken zu gewährleisten. Ziel soll es sein, dass das BSI verbessert Warnungen zu Sicherheitslücken und Schadprogrammen aussprechen kann. Dazu sollen einerseits die KRITIS-Betreiber regelmäßig die Erfüllung der Maßnahmen nachweisen. Andererseits kann das BSI auch präventive Untersuchungen von bereitgestellten oder zur Bereitstellung vorgesehenen informationstechnischen Produkten und Systemen durchführen (§ 8 Absatz 1 Satz 1 und 2 BSI-G).

Herausforderungen für KRITIS

Im Ergebnis zeigt sich, dass durch das IT-Sicherheitsgesetz keine wirklich neuartigen Tätigkeiten bezüglich der IT-Sicherheit auf Betreiber von KRITIS zukommen, jedoch die Umsetzung der IT-Sicherheit nun verpflichtend wird. Dabei bleibt für viele Unternehmen fraglich, ob sie denn nun betroffen sind oder nicht. Klärung dazu wird voraussichtlich die geplante Rechtsverordnung bringen.

IT-Sicherheitsgesetzt in Pixeln

Neue Herausforderungen auch für Telemedien-Dienstleister

Doch auch einige Unternehmen, die nicht von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, sollten beim IT-Sicherheitsgesetz genau hinschauen. Denn durch die Änderungen im Telemediengesetz (TMG) ergeben sich auch neue Herausforderungen für Diensteanbieter im Telemedienbereich. Betroffen als Diensteanbieter ist durch § 2 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.

Neue Schutzpflicht im Telemediengesetz

Seit jeher beinhaltete § 13 TMG konkrete Pflichten von Telemedien-Diensteanbietern, jedoch vorwiegend zum Datenschutz.

Durch das IT-Sicherheitsgesetz wurde die Verpflichtung zur IT-Sicherheit eingeführt. Dies ist insofern neu, als das bis dahin die Anbieter von Telemediendiensten lediglich nach üblichen zivilrechtlichen Regelungen hafteten. Dies hieß bei einem Störfall musste geprüft werden, ob der Anbieter schuldhaft den Umstand zu vertreten hatte. Bei leichter Fahrlässigkeit, also umgangssprachlich dem Nicht-Erkennen-Können, konnte der Anbieter aus der Haftung genommen werden.

Dies hat sich mit dem IT-Sicherheitsgesetz geändert. Das neue TMG verpflichtet nun zu präventiven technischen und organisatorischen Maßnahmen nach Stand der Technik zum Schutz der Systeme gegen drei konkret benannte Szenarien:

  1. Unerlaubter Zugriff auf Systeme
  2. Verletzung von Datenschutzrechten
  3. Störung der Anlagen durch äußere Angriffe

Bußgelder bei Nichtumsetzung möglich

Um diesen Vorgaben entsprechenden Nachdruck zu verleihen, ist die Verletzung dieser Pflicht als eine mit Bußgeld belegte Ordnungswidrigkeit im TMG aufgeführt, welche sich auf bis zu 50.000 Euro belaufen kann. Dies betrifft jedoch nicht den fehlenden Schutz vor Störungen von außen.

In der Praxiserfahrung waren die zuständigen Landesbehörden trotz einiger Vorfälle bisher zurückhaltend bei der Anwendung der Bußgeldtatbestände. Es bleibt abzuwarten, ob sich dies ändern wird.

Einschränkung durch „Zumutbarkeit“

Allerdings sind die entsprechenden Schutzmaßnahmen nur dann zu implementieren, soweit dies technisch möglich und wirtschaftlich zumutbar ist (§ 13 Absatz 7 Satz 2 TMG). Vermutlich sollen durch diese Einschränkung vor allem kleine Unternehmen vor geschäftsschädigend hohen Investitionen geschützt werden. Doch wo die Grenze zu ziehen ist wird nicht ersichtlich. Weiterhin ist jeweils für den Einzelfall zu prüfen, was denn nun zumutbar ist und was nicht.

Konsequenzen

Zum einen entbehrt diese Verpflichtung die genannte Schuldbarkeitsprüfung. Durch die gesetzliche Pflicht wird es schwerer die Einrede der leichten Fahrlässigkeit zur Geltung zu bringen, denn die Verpflichtung war im Vorhinein erkenntlich.

Noch nicht ganz klar ist, ob sich diese Regelung deshalb als wettbewerbliche gesetzliche Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG auswirkt, die im Interesse der Marktteilnehmer das Marktverhalten regeln soll. Wäre das der Fall, so könnten auch Wettbewerber untereinander Abmahnungen aussprechen, wenn Mitbewerber sich nicht an die gesetzlichen Vorgaben halten. Vieles spräche dafür, doch geklärt ist es noch nicht.

Insbesondere im Hosting-Bereich sollte deshalb auf die Vertragsgestaltung geachtet werden. Im Mietrecht (zu dem Verträge im Hosting größtenteils gezählt werden) gilt der Grundsatz, dass der schriftliche Vertrag den Soll-Zustand der Ware wiedergibt. So kann durch vertragliche Einigung auch von gesetzlichen Vorgaben bewusst abgewichen werden, solange dies schriftlich im Vertrag Einzug hält und den Willen beider Vertragsparteien wiedergibt.

Weitergehende Untersuchungsrechte des BSI

Auch weitere IT-Dienstleister sollten sich die Änderungen durch das IT-Sicherheitsgesetz gut durchlesen. Wie bereits erwähnt ist das BSI nun berechtigt, präventive Untersuchungen von informationstechnischen Produkten und Systemen durchzuführen. Als Einschränkung gilt lediglich die Zweckdienlichkeit der Untersuchung zur Ermittlung und Bearbeitung von Sicherheitsrisiken und möglichen –lücken (Gesetzesbegründung BT-DS 18/4096 Seite 25).

Das Ziel dieser Regelung ist klar. Jedoch ist der Betroffenenkreis derart umfangreich, dass eine Vielzahl von Unternehmen darunter fallen könnte. Immerhin wird dem Hersteller die Möglichkeit gegeben, vor Veröffentlichung durch das BSI Stellung zu beziehen oder Abhilfe zu schaffen im Falle von entdeckten Sicherheitslücken.

Fazit

Anbieter von IT-Lösungen sollten verstärkt auf die neuen Pflichten achten und entsprechende Maßnahmen einleiten. Technisch gesehen ist dem Gesetz zwar nichts Neuartiges für Unternehmen zu entnehmen, neu ist nur die grundsätzliche Verpflichtung zur Durchführung angemessener Maßnahmen. Deren Umfang, gerade die Umsetzung der Informationspflichten gegenüber dem BSI, bleiben jedoch fraglich.

Trusted Hosting von ADACOR mit Pojekt-Sicherheit.

, , , , , ,


Weitere Artikel zum Thema lesen

Phishing kann jeden treffen

IT Security

MAC-Nutzer von Malware betroffen

Makroviren für Word und Excel erstmalig beim Mac. Nur bedingt Verlass auf Antivirus-Software.

weiter lesen

Verschlüsselungsverfahren im Überblick

IT Security

Verschlüsselungsverfahren im Überblick

E-Mail-Verschlüsselung lohnt sich, wenn man sensible Daten digital übertragen möchte.

weiter lesen

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

IT Security

Deutsches Datenschutzrecht wird angepasst

Kabinett beschließt Anpassungs- und Umsetzungsgesetz zur EU-Datenschutz-Grundverordnung.

weiter lesen


Neueste Nachrichten von Adacor

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Der Schlüssel zum effektiven Domain Management

Domains

Domain Management: Verwalten Sie Ihre Domains (noch) selbst?

Die Anzahl der Domains nimmt verstärkt zu. Deren Management wird zunehmend zur Herausforderung. Wir bieten Ihnen den Schlüssel zum effektiven Domain Management.

weiter lesen

So funktioniert Cloud Hosting

Cloud

So funktioniert Cloud Hosting

Das Modell Cloud Hosting verspricht jederzeit skalierbare, virtualisierte Server, die immer die Leistung zur Verfügung stellen, die gerade benötigt wird.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.