IT-Sicherheitsgesetz 2.0 verabschiedet

Nach langen Verhandlungen hat der Bundestag am 23.4.2021 „nach halbstündiger Aussprache“ – sprich, kurz und (je nach Standpunkt) schmerzlos bzw. -voll die Neuausgabe des IT-Sicherheitsgesetzes von 2015 beschlossen. Seit 2019 hatte es für die Novelle des Gesetzes, welches bis zuletzt nicht evaluiert worden war, eine Reihe von öffentlichen, nichtöffentlichen, geleakten und teilweise schnell wieder veralteten Entwürfen gegeben, die der kommentierenden Zivilgesellschaft einiges an Agilität abverlangten.

Am Ende konnte die viele – nicht wenige sagen: vernichtende – Kritik am Gesamtwerk nur wenig Änderungen bewirken; auch die Anträge der verschiedenen Oppositionsparteien wurden sämtlich abgeschmettert. Nun ist es, was es ist – und wird, wie bereits das ursprüngliche IT-SiG – konkret vor allem mit den folgenden Rechtsverordnungen ausgestaltet werden.

Klar ist aber schon, dass die Kompetenz des BSI stark erweitert wird. Es kann künftig Sicherheitslücken in IT-Systemen über öffentliche Telekommunikationsnetze mithilfe von Portscans suchen und semi-offensive Methoden wie Honeypots und Sinkholes einsetzen. Dazu mischt das BSI jetzt im Verbraucherschutz mit, etwa mit einem IT-Sicherheitskennzeichen.

Kritis-Betreiber sowie Betreiber im Energie-Sektor müssen bald Systeme zur Angriffserkennung („SOC“/„SIEM“) einsetzen. Außerdem müssen Erklärungen von Herstellern kritischer Komponenten eingeholt werden, dass keine Sabotage oder Spionage zu erwarten ist.

Bestimmte bislang schon geltende Pflichten für Kritis-Betreiber (v. a. die Meldepflicht) betreffen demnächst auch „Unternehmen in besonderem öffentlichen Interesse“ („UNBÖFI“), etwa in der Rüstungsindustrie und im Bereich Verschlusssachen („KRITIS-light“). Ebenso auf dem Radar sind nun Unternehmen, die der Störfallverordnung unterliegen, und Konzerne „von erheblicher volkswirtschaftlicher Bedeutung“ im Inland oder als Zulieferer mit „Alleinstellungsmerkmalen“. Neu betroffen ist der Sektor Entsorgung.

https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/it-sig-2-kabinett.html

Papier-Tiger oder Praxis-Löwe: Umsetzung des § 8a BSIG in der Praxis

Seit Juli 2015 ist das IT-Sicherheitsgesetz nun bereits in Kraft. Insbesondere die Anforderungen nach § 8a BSI-Gesetz haben dabei weitreichende Anforderungen für die Betreiber kritischer Dienstleistungen gebracht. Der ausführliche Beitrag „Umsetzung des § 8a BSIG in der Praxis – Eine Reise zwischen Nachweiserbringungen, Zertifizierungen und dem wirklichen Leben“ unseres Experten Daniel Jedecke im Research-Blog geht der Frage nach, ob die Regulierung nur einen Papier-Tiger erschaffen oder tatsächliche Hilfe für die Bevölkerung gebracht hat.

https://research.hisolutions.com/2021/01/umsetzung-des-%c2%a78a-bsig-in-der-praxis/

Keine Portokasse: IT-Sicherheitsgesetz 2.0 könnte drastische Bußgelder bringen

Die Weiterentwicklung des IT-Sicherheitsgesetzes „2.0“ zieht sich nun schon über geraume Zeit. Es ist ein weiterer Referentenentwurf bekannt geworden, der in die Ressortabstimmung geht und über den Sommer mit den Verbänden diskutiert werden soll. Hierin ist geplant, die Bußgelder auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes anzuheben – dieses scharfe Schwert hat sich aus Regulierer-Sicht bereits bei der DSGVO bewährt. Die Entsorgung soll sich zu den KRITIS-Sektoren gesellen, außerdem kommen ggf. Auflagen für diverse Typen von „Unternehmen im besonderem öffentlichen Interesse“. Auch letztere sollen alle zwei Jahre ein IT-Sicherheitskonzept nach dem Stand der Technik beim BSI vorlegen. Komponenten für KRITIS-Anlagen rücken zukünftig ebenfalls in den Fokus: Diese sollen zugelassen werden bzw. Herstellergarantien enthalten, dass keine technischen Hintertüren vorhanden sind. Bei Verstößen könnte der Einsatz durch das BMI unterbunden werden.

Das BSI soll künftig Honeypots und Sinkholes betreiben, Portscans im Internet aktiv durchführen und in bestimmten Fällen auch Kommunikation umlenken und Botnetze ausschalten. Bei angreifbaren Systemen könnte die Behörde, die ihre größtenteils passive Schutzrolle verändern würde, aktiv Sicherungsmaßnahmen vornehmen. Darüber hinaus sind auch Erweiterungen von Befugnissen der Strafverfolgungsbehörden geplant, welche bestimmte Daten von sozialen Netzwerken automatisch erhalten sollen. Das BKA soll des Weiteren das BSI als Erfüllungsgehilfen etwa für die Auswertung von Sicherheitslücken heranziehen. Das Fernmeldegeheimnis (Artikel 10 GG) würde unter anderem hierfür entsprechend eingeschränkt. Im Bereich Verbraucherschutz soll das BSI auf dem Feld Cyber neue Aufgaben bekommen und u. a. ein „IT-Sicherheitskennzeichen“ als eine Art elektronischen Beipackzettel für IoT u. ä. einführen. Das Ganze soll mit einem Aufbau von fast 600 (BSI) bzw. 50 (BBK) Stellen einhergehen.

https://ag.kritis.info/2020/05/13/kommentar-zum-neuen-referentenentwurf-des-it-sicherheitsgesetz-2-0-it-sig2/