Menü
Ein Beitrag von Adacor

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

Das Ziel des IT-Sicherheitsgesetzes ist, durch gesetzliche Regelungen den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. Es richtet sich an Anbieter verschiedener IT-Dienstleistungen.
ParagagraphDas IT-Sicherheitsgesetz hat das große Ziel die Sicherheit informationstechnischer Systeme in Deutschland erheblich zu verbessern, um aktuellen und zukünftigen Gefahren für die IT-Sicherheit (z. B. Cyberattacken) wirksam begegnen zu können. Darüber hinaus sollen die Befugnisse von BSI und dem Bundeskriminalamt gestärkt werden. Das IT-Sicherheitsgesetz wendet sich an verschiedene Zielgruppen wie Anbieter von Webangeboten, Telekommunikationsunternehmen sowie insbesondere Betreiber Kritischer Infrastrukturen (KRITIS).

Das IT-Sicherheitsgesetz selbst ist kein Gesetz aus dem sich konkrete Ansprüche ableiten lassen. Vielmehr wurden durch dieses neue Pflichten durch Änderungen bestehender Regelungen in anderen Gesetzen eingeführt. Im Weiteren wird vor allem auf Regelungen im BSI- und Telemediengesetz eingegangen, da diese speziell für die IT-Dienstleistungsbranche gelten. Weitere betroffene Gesetze sind das Energiewirtschaftsgesetz (EWG), das Telekommunikationsgesetz (TKG), das Bundesbesoldungsgesetz und das Bundeskriminalamtgesetz (BKA-G).

Schutz von Kritischen Infrastrukturen

Zu den zentralen Zielen des IT-Sicherheitsgesetzes zählt die Sicherstellung der sogenannten Kritischen Infrastrukturen (KRITIS). Hintergrund dieser Regelungen waren dabei Hacker-Angriffe auf öffentliche Stellen, wie etwa die Stuxnet-Angriffe auf iranische Atomanlagen im Jahre 2010.

Image

6 Kriterien, die Ihr Hosting-Projekt groß machen

Cloud-Lösungen bieten Unternehmen zahlreiche Vorteile.
Worauf Sie achten sollten, verraten wir hier.


Weiter lesen

KRITIS – was ist das?

Kritische Infrastrukturen sind nach neuer Rechtslage im BSI-Gesetz Unternehmen und Infrastrukturen, „die von hoher Bedeutung für das Gemeinwesen“ sind (§ 2 Absatz 10 Satz 1 BSI-G). Dazu gehören laut der Gesetzesbegründung (BT-DS 18/4096 S. 38) insbesondere Unternehmen aus folgenden Bereichen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

Qualifizierend gilt, dass der Ausfall oder die Beeinträchtigung dieser Institutionen zu einem Versorgungsengpass oder einer Gefährdung der öffentlichen Sicherheit oder des Gemeinwesens führen können (§ 2 Absatz 10 Satz 1 BSI-G).

Davon abgegrenzt wurde bereits, welche Unternehmen nicht von dieser Regelung betroffen sind, nämlich sogenannte „Kleinstunternehmen“ im Sinne der Definition der EU-Kommission: Unternehmen mit einer Mitarbeiteranzahl von unter zehn Personen und einem Umsatz beziehungsweise einer Jahresbilanz von unter 2 Mio. Euro (§ 8c Absatz 1 Satz 1 BSI-G; Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003).

Dass zwischen diesen beiden Definitionen ein immens großer Spielraum liegt, ist offensichtlich. Klärung welche Unternehmen oder Bereiche denn nun genau sogenannte „KRITIS“ sind, soll deshalb demnächst eine vom BSI erlassene Rechtsverordnung bringen.

Welche Pflichten gibt es für KRITIS?

Die Hauptpflichten für KRITIS betreffen insbesondere den Schutz der Informationssicherheit, also den Schutz von Verfügbarkeit, Integrität und Vertraulichkeit von Daten und dazu nötigen IT-Systemen.

Umsetzung von Maßnahmen zur Informationssicherheit

Konkret soll dies gewährleistet werden durch „angemessene organisatorische und technische Vorkehrungen nach Stand der Technik“. Wobei mit angemessenen Maßnahmen diejenigen gemeint sind, deren „Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung“stehen (§ 8 Absatz 1 Satz 1 und 2 BSI-G). Diese sollen spätestens zwei Jahre nach Inkrafttreten der genannten Rechtsverordnung umgesetzt und Nachweise die dies bestätigen dem BSI zugesandt werden.

Informationspflichten gegenüber dem BSI

Wirklich neu ist vor allem die intensivierte Zusammenarbeit mit dem BSI, um die Prävention und Verbesserung von Abwehrmaßnahmen von Cyberattacken zu gewährleisten. Ziel soll es sein, dass das BSI verbessert Warnungen zu Sicherheitslücken und Schadprogrammen aussprechen kann. Dazu sollen einerseits die KRITIS-Betreiber regelmäßig die Erfüllung der Maßnahmen nachweisen. Andererseits kann das BSI auch präventive Untersuchungen von bereitgestellten oder zur Bereitstellung vorgesehenen informationstechnischen Produkten und Systemen durchführen (§ 8 Absatz 1 Satz 1 und 2 BSI-G).

Herausforderungen für KRITIS

Im Ergebnis zeigt sich, dass durch das IT-Sicherheitsgesetz keine wirklich neuartigen Tätigkeiten bezüglich der IT-Sicherheit auf Betreiber von KRITIS zukommen, jedoch die Umsetzung der IT-Sicherheit nun verpflichtend wird. Dabei bleibt für viele Unternehmen fraglich, ob sie denn nun betroffen sind oder nicht. Klärung dazu wird voraussichtlich die geplante Rechtsverordnung bringen.

IT-Sicherheitsgesetzt in Pixeln

Neue Herausforderungen auch für Telemedien-Dienstleister

Doch auch einige Unternehmen, die nicht von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, sollten beim IT-Sicherheitsgesetz genau hinschauen. Denn durch die Änderungen im Telemediengesetz (TMG) ergeben sich auch neue Herausforderungen für Diensteanbieter im Telemedienbereich. Betroffen als Diensteanbieter ist durch § 2 TMG jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.

Neue Schutzpflicht im Telemediengesetz

Seit jeher beinhaltete § 13 TMG konkrete Pflichten von Telemedien-Diensteanbietern, jedoch vorwiegend zum Datenschutz.

Durch das IT-Sicherheitsgesetz wurde die Verpflichtung zur IT-Sicherheit eingeführt. Dies ist insofern neu, als das bis dahin die Anbieter von Telemediendiensten lediglich nach üblichen zivilrechtlichen Regelungen hafteten. Dies hieß bei einem Störfall musste geprüft werden, ob der Anbieter schuldhaft den Umstand zu vertreten hatte. Bei leichter Fahrlässigkeit, also umgangssprachlich dem Nicht-Erkennen-Können, konnte der Anbieter aus der Haftung genommen werden.

Dies hat sich mit dem IT-Sicherheitsgesetz geändert. Das neue TMG verpflichtet nun zu präventiven technischen und organisatorischen Maßnahmen nach Stand der Technik zum Schutz der Systeme gegen drei konkret benannte Szenarien:

  1. Unerlaubter Zugriff auf Systeme
  2. Verletzung von Datenschutzrechten
  3. Störung der Anlagen durch äußere Angriffe

Bußgelder bei Nichtumsetzung möglich

Um diesen Vorgaben entsprechenden Nachdruck zu verleihen, ist die Verletzung dieser Pflicht als eine mit Bußgeld belegte Ordnungswidrigkeit im TMG aufgeführt, welche sich auf bis zu 50.000 Euro belaufen kann. Dies betrifft jedoch nicht den fehlenden Schutz vor Störungen von außen.

In der Praxiserfahrung waren die zuständigen Landesbehörden trotz einiger Vorfälle bisher zurückhaltend bei der Anwendung der Bußgeldtatbestände. Es bleibt abzuwarten, ob sich dies ändern wird.

Einschränkung durch „Zumutbarkeit“

Allerdings sind die entsprechenden Schutzmaßnahmen nur dann zu implementieren, soweit dies technisch möglich und wirtschaftlich zumutbar ist (§ 13 Absatz 7 Satz 2 TMG). Vermutlich sollen durch diese Einschränkung vor allem kleine Unternehmen vor geschäftsschädigend hohen Investitionen geschützt werden. Doch wo die Grenze zu ziehen ist wird nicht ersichtlich. Weiterhin ist jeweils für den Einzelfall zu prüfen, was denn nun zumutbar ist und was nicht.

Konsequenzen

Zum einen entbehrt diese Verpflichtung die genannte Schuldbarkeitsprüfung. Durch die gesetzliche Pflicht wird es schwerer die Einrede der leichten Fahrlässigkeit zur Geltung zu bringen, denn die Verpflichtung war im Vorhinein erkenntlich.

Noch nicht ganz klar ist, ob sich diese Regelung deshalb als wettbewerbliche gesetzliche Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG auswirkt, die im Interesse der Marktteilnehmer das Marktverhalten regeln soll. Wäre das der Fall, so könnten auch Wettbewerber untereinander Abmahnungen aussprechen, wenn Mitbewerber sich nicht an die gesetzlichen Vorgaben halten. Vieles spräche dafür, doch geklärt ist es noch nicht.

Insbesondere im Hosting-Bereich sollte deshalb auf die Vertragsgestaltung geachtet werden. Im Mietrecht (zu dem Verträge im Hosting größtenteils gezählt werden) gilt der Grundsatz, dass der schriftliche Vertrag den Soll-Zustand der Ware wiedergibt. So kann durch vertragliche Einigung auch von gesetzlichen Vorgaben bewusst abgewichen werden, solange dies schriftlich im Vertrag Einzug hält und den Willen beider Vertragsparteien wiedergibt.

Weitergehende Untersuchungsrechte des BSI

Auch weitere IT-Dienstleister sollten sich die Änderungen durch das IT-Sicherheitsgesetz gut durchlesen. Wie bereits erwähnt ist das BSI nun berechtigt, präventive Untersuchungen von informationstechnischen Produkten und Systemen durchzuführen. Als Einschränkung gilt lediglich die Zweckdienlichkeit der Untersuchung zur Ermittlung und Bearbeitung von Sicherheitsrisiken und möglichen –lücken (Gesetzesbegründung BT-DS 18/4096 Seite 25).

Das Ziel dieser Regelung ist klar. Jedoch ist der Betroffenenkreis derart umfangreich, dass eine Vielzahl von Unternehmen darunter fallen könnte. Immerhin wird dem Hersteller die Möglichkeit gegeben, vor Veröffentlichung durch das BSI Stellung zu beziehen oder Abhilfe zu schaffen im Falle von entdeckten Sicherheitslücken.

Fazit

Anbieter von IT-Lösungen sollten verstärkt auf die neuen Pflichten achten und entsprechende Maßnahmen einleiten. Technisch gesehen ist dem Gesetz zwar nichts Neuartiges für Unternehmen zu entnehmen, neu ist nur die grundsätzliche Verpflichtung zur Durchführung angemessener Maßnahmen. Deren Umfang, gerade die Umsetzung der Informationspflichten gegenüber dem BSI, bleiben jedoch fraglich.

Trusted Hosting von ADACOR mit Pojekt-Sicherheit.

, , , , , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Biz & Trends, IT Security

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Wie sich USB-Sticks verschlüsseln lassen und wieso dies immens wichtig ist.

weiter lesen

CryptoPHP infiziert Joomla, WordPress und Co

IT Security

CryptoPHP infiziert Joomla, WordPress und Co

Was ist an dem Schadcode besonders gefährlich und welche Maßnahmen werden dagegen ergriffen?

weiter lesen

Biz & Trends, IT Security

Standardisierte Protokollerstellung mit intranetbasierter Softwarelösung

Die Erstellung von Protokollen mittels webbasierten Software erlaubt es Arbeitsabläufe zu vereinfachen.

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

Neue Serverkonfiguration schützt einfach und effektiv beim Phishing von Reset-Links.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.